Ab Vulnerability Response (VR) v17.1 können Sie doppelte Schwachstellen in einem Asset automatisch beheben.

Wenn ein Asset mit mehreren Scannern gescannt wird, besteht die Möglichkeit, dass dieselbe Schwachstelle von den verschiedenen Scannern in Form von Duplikaten identifiziert wird. Wenn die Scanner Qualys und Microsoft beispielsweise dieselbe Schwachstelle identifizieren, können Sie festlegen, dass die doppelte Schwachstelle automatisch behoben wird.

Beispielszenario

VR erstellt einen Datensatz, VI1, für Schwachstelle 1 aus dem Microsoft Defender for Endpoint-Scanner. Ein zweiter Datensatz, VI2, wird vom Qualys-Scanner für dieselbe Schwachstelle erstellt. Das Korrekturteam wendet die Patches an, die die VI1- und VI2-Datensätze möglicherweise auflösen. Wenn Sie den Qualys-Scanzeitplan über einen Tag hinaus konfigurieren, gibt Microsoft Defender bis zu diesem Zeitpunkt die Informationen zur behobenen Schwachstelle zurück, und VR schließt den VI1-Datensatz als Geschlossen/Behoben.

In diesem Szenario befindet sich der VI2-Datensatz noch im Status „Offen“, und VR wartet auf die Qualys-Scan-Ergebnisse. In dieser Situation verbleiben VI-Datensätze vom zweiten Scanner im Status „Offen“, auch wenn der Patch angewendet wird und die VI vom anderen Scanner als behoben bestätigt wird.

Um diese Situation zu beheben, sollten Sie den doppelten Schwachstellendatensatz basierend auf der Bedingung auflösen, dass die Schwachstelle vom ersten Scanner geschlossen wird.