Operaciones
Revisión de false positives y allowlisting
Revisa posibles false positives y reúne los detalles necesarios para allowlisting o soporte Cybora.
Última actualización: 15 de junio de 2026
En esta página
La threat intelligence puede coincidir ocasionalmente con infraestructura que un cliente considera legítima en su entorno. Un workflow de revisión consistente ayuda a distinguir un false positive real de un bloqueo esperado.
Reunir evidencia
Captura:
- Indicador que coincidió.
- Timestamp y zona horaria.
- Nombre de regla firewall o policy.
- Source y destination.
- Aplicación o servicio afectado.
- Impacto de negocio.
- Si el tráfico fue bloqueado, rechazado o solo registrado.
Allowlisting local
Si el firewall soporta excepciones locales, crea la entrada de allowlist más estrecha posible. Prefiere una destination, source, aplicación o alcance de policy específico en lugar de omitir todo el feed globalmente.
Enviar para revisión
Envía la evidencia recopilada al soporte de Cybora cuando creas que un indicador debe eliminarse o revisarse globalmente. Incluye logs y la razón por la que se espera que el destino sea seguro.
Seguimiento
Después de revisar un indicador, elimina excepciones locales temporales si ya no son necesarias. Mantén un registro breve de por qué existía la excepción y cuándo se cerró.