Explorar docs

Operaciones

Revisión de false positives y allowlisting

Revisa posibles false positives y reúne los detalles necesarios para allowlisting o soporte Cybora.

Última actualización: 15 de junio de 2026

En esta página

La threat intelligence puede coincidir ocasionalmente con infraestructura que un cliente considera legítima en su entorno. Un workflow de revisión consistente ayuda a distinguir un false positive real de un bloqueo esperado.

Reunir evidencia

Captura:

  • Indicador que coincidió.
  • Timestamp y zona horaria.
  • Nombre de regla firewall o policy.
  • Source y destination.
  • Aplicación o servicio afectado.
  • Impacto de negocio.
  • Si el tráfico fue bloqueado, rechazado o solo registrado.

Allowlisting local

Si el firewall soporta excepciones locales, crea la entrada de allowlist más estrecha posible. Prefiere una destination, source, aplicación o alcance de policy específico en lugar de omitir todo el feed globalmente.

Enviar para revisión

Envía la evidencia recopilada al soporte de Cybora cuando creas que un indicador debe eliminarse o revisarse globalmente. Incluye logs y la razón por la que se espera que el destino sea seguro.

Seguimiento

Después de revisar un indicador, elimina excepciones locales temporales si ya no son necesarias. Mantén un registro breve de por qué existía la excepción y cuándo se cerró.