Getting Started
Introduzione a Cybora
Scopri cosa fornisce Cybora, come funzionano i threat feed per firewall e come distribuire Cybora in produzione in modo controllato.
Ultimo aggiornamento: 15 giugno 2026
In questa pagina
Cybora fornisce feed di threat intelligence curati per firewall e dispositivi di sicurezza di rete. L’idea di base è semplice: il firewall recupera un feed via HTTPS, importa gli indicatori in un oggetto o elenco nativo e usa quell’elenco nelle policy.
Cybora è pensato per completare i controlli di sicurezza esistenti. Può aiutare a ridurre l’esposizione a infrastrutture malevole note al perimetro, ma non sostituisce IPS, EDR, sicurezza DNS, monitoraggio SIEM o una policy firewall verificata.
Cosa fornisce Cybora
Cybora pubblica feed di threat intelligence adatti ai firewall come file TXT semplici distribuiti via HTTPS. L’output è volutamente semplice: un indicatore per riga, senza wrapper specifici del vendor, payload JSON o formati proprietari.
A seconda del piano, Cybora può fornire copertura per categorie di indicatori come indirizzi IPv4, domini e URL. Il formato del file resta lo stesso. Cambiano la categoria dell’indicatore nel feed e la funzionalità nativa del firewall che lo consuma.
Questo mantiene il deployment vicino al workflow nativo del vendor firewall ed evita agent personalizzati o integrazioni API complesse nel percorso comune. La parte specifica del firewall è il punto di configurazione nel prodotto, non un formato di file specifico di Cybora.
Il pattern di deployment abituale è:
- Copia l’URL HTTPS del feed Cybora per la categoria di indicatore coperta dal tuo piano.
- Aggiungi l’URL alla funzionalità nativa del firewall per liste esterne, alias, liste dinamiche o threat feed.
- Imposta un intervallo di polling compatibile con il piano Cybora e con le raccomandazioni del vendor.
- Referenzia la lista importata nella policy firewall, DNS, web o security dove la piattaforma lo supporta.
- Verifica che il firewall possa scaricare il feed TXT, leggere le voci e applicare l’azione prevista.
Concetti comuni
La maggior parte dei deployment Cybora condivide alcuni concetti:
- Una chiave di licenza identifica la sottoscrizione del feed. Salvo diversa indicazione del piano, una chiave è pensata per un dispositivo firewall o un edge HA logico.
- L’URL del feed include la chiave di licenza e identifica la categoria dell’indicatore e lo scope di accesso.
- Il firewall interroga l’URL su una pianificazione ricorrente.
- Il firewall salva gli indicatori recuperati in un oggetto, lista, alias, categoria o oggetto feed nativo.
- La policy decide se il traffico corrispondente viene bloccato, rifiutato, registrato o solo monitorato.
- Un polling eccessivo può attivare rate limiting o blocco temporaneo, quindi l’intervallo di refresh deve restare entro i limiti consentiti dal piano.
Rollout consigliato
Inizia con un rollout controllato. Conferma che il firewall possa raggiungere l’URL del feed, importare il numero previsto di voci e referenziare l’oggetto importato nella policy. Abilita il logging prima di applicare il feed in modo esteso.
Dove il firewall lo supporta, inizia con monitoring o con uno scope di policy limitato. Rivedi le corrispondenze, conferma che il traffico business-critical non sia impattato e poi passa al blocco quando il comportamento è chiaro.