Parcourir les docs

Opérations

Revue de false positive et allowlisting

Analysez les false positives suspectés et collectez les détails nécessaires à l'allowlisting ou au support Cybora.

Dernière mise à jour: 15 juin 2026

Sur cette page

La threat intelligence peut parfois correspondre à une infrastructure qu’un client considère comme légitime dans son environnement. Un workflow de revue cohérent aide à distinguer un vrai false positive d’un blocage attendu.

Collecter les preuves

Capturez :

  • L’indicateur qui a correspondu.
  • Le timestamp et le fuseau horaire.
  • Le nom de règle firewall ou de policy.
  • La source et la destination.
  • L’application ou le service affecté.
  • L’impact métier.
  • Le fait que le trafic ait été bloqué, rejeté ou seulement journalisé.

Allowlisting local

Si le firewall supporte des exceptions locales, créez l’entrée d’allowlist la plus étroite possible. Préférez une destination, source, application ou portée de policy spécifique plutôt qu’un contournement global de tout le flux.

Soumettre pour revue

Envoyez les preuves collectées au support Cybora lorsque vous pensez qu’un indicateur doit être supprimé ou revu globalement. Incluez les logs et la raison pour laquelle la destination est censée être sûre.

Suivi

Après la revue d’un indicateur, supprimez les exceptions locales temporaires si elles ne sont plus nécessaires. Conservez une courte trace de la raison de l’exception et de sa date de clôture.