Betrieb
False-Positive-Review und Allowlisting
Prüfen Sie vermutete False Positives und sammeln Sie die Angaben für Allowlisting oder Cybora Support.
Zuletzt aktualisiert: 15. Juni 2026
Auf dieser Seite
Threat Intelligence kann gelegentlich Infrastruktur treffen, die ein Kunde in seiner Umgebung als legitim betrachtet. Ein konsistenter Review-Workflow hilft, echte False Positives von erwarteter Blockierung zu unterscheiden.
Nachweise sammeln
Erfassen Sie:
- Betroffenen Indikator.
- Zeitstempel und Zeitzone.
- Firewall-Regel oder Policy-Name.
- Source und Destination.
- Betroffene Applikation oder Dienst.
- Geschäftliche Auswirkung.
- Ob Traffic blockiert, abgelehnt oder nur geloggt wurde.
Lokales Allowlisting
Falls die Firewall lokale Ausnahmen unterstützt, erstellen Sie den engsten möglichen Allowlist-Eintrag. Bevorzugen Sie spezifische Destination, Source, Applikation oder Policy-Scope, statt den gesamten Feed global zu umgehen.
Zur Prüfung einreichen
Senden Sie die gesammelten Nachweise an den Cybora Support, wenn ein Indikator global entfernt oder geprüft werden soll. Fügen Sie Logs und den Grund hinzu, warum das Ziel als sicher erwartet wird.
Nachverfolgung
Entfernen Sie nach der Prüfung eines Indikators temporäre lokale Ausnahmen, wenn sie nicht mehr benötigt werden. Halten Sie kurz fest, warum die Ausnahme existierte und wann sie geschlossen wurde.