Opérations
Revue de false positive et allowlisting
Analysez les false positives suspectés et collectez les détails nécessaires à l'allowlisting ou au support Cybora.
Dernière mise à jour: 15 juin 2026
Sur cette page
La threat intelligence peut parfois correspondre à une infrastructure qu’un client considère comme légitime dans son environnement. Un workflow de revue cohérent aide à distinguer un vrai false positive d’un blocage attendu.
Collecter les preuves
Capturez :
- L’indicateur qui a correspondu.
- Le timestamp et le fuseau horaire.
- Le nom de règle firewall ou de policy.
- La source et la destination.
- L’application ou le service affecté.
- L’impact métier.
- Le fait que le trafic ait été bloqué, rejeté ou seulement journalisé.
Allowlisting local
Si le firewall supporte des exceptions locales, créez l’entrée d’allowlist la plus étroite possible. Préférez une destination, source, application ou portée de policy spécifique plutôt qu’un contournement global de tout le flux.
Soumettre pour revue
Envoyez les preuves collectées au support Cybora lorsque vous pensez qu’un indicateur doit être supprimé ou revu globalement. Incluez les logs et la raison pour laquelle la destination est censée être sûre.
Suivi
Après la revue d’un indicateur, supprimez les exceptions locales temporaires si elles ne sont plus nécessaires. Conservez une courte trace de la raison de l’exception et de sa date de clôture.