Drittpartei-Integrationen rufen die Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, wie von den Scannern gemeldet.

Erkennungsdaten werden mit angreifbaren Elementen (VIS, Vits) gekoppelt, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn kein VI gefunden wird, wird ein neues erstellt. Erkennungen werden nur von den Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden werden.

Wenn alle Erkennungen für ein angreifbares Element geschlossen sind, wird dieses angreifbare Element geschlossen. Im VI-Datensatz ist der Status „Geschlossen/behoben“. Wenn alle VIS für eine Korrekturaufgabe geschlossen sind, wird die Korrekturaufgabe geschlossen. Andernfalls bleibt der Status-Flow gleich.

Geschlossene VIS mit dem Substatus „behoben“ oder „veraltet“ werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die VIS mit der neuen Schwachstelle abgeglichen werden können.

Ab Version 20,0 von Vulnerability Response, Wenn eine Erkennung veraltet ist und sich das zugeordnete VI im Status „Geschlossen“ befindet, wechselt der Status des VI nicht in „Geschlossen – Veraltet“. Dies soll verhindern, dass das VI erneut geöffnet wird, wenn eine neue Erkennung identifiziert wird, damit Sie vermeiden können, dass der gesamte falsch positive Anforderungs- und Genehmigungsprozess durchlaufen. Um dieses Verhalten umzukehren, deaktivieren Sie Ignorieren Sie veraltete Erkennungen für geschlossene VIS Kontrollkästchen im Formular „Konfiguration automatisch schließen“. Weitere Informationen finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

Gemäß Skripteinbindung DetectionBase, Methode _shouldReOpenVI(), Wenn das VI zuvor mit dem Substatus „behoben“, „Veraltet“ oder „CI stillgelegt“ geschlossen wurde, wird es erneut geöffnet, und die Erkennung wird dem vorhandenen VIT zugeordnet.

Nehmen wir beispielsweise an, dass das Abschlussdatum eines VIS nach dem Datum der letzten Entdeckung einer Erkennung liegt. Sie würden erwarten, dass diese VI-Datensätze geschlossen bleiben. Wenn Sie jedoch sehen, dass ein zuvor geschlossenes VI erneut geöffnet wurde, bedeutet dies, dass das VI durch eine frühere Erkennung geschlossen wurde und die Schwachstelle in einem späteren Scan erneut gefunden wurde. Wenn eine neue Erkennung gefunden wird, die dem geschlossenen VIT entspricht, das dieselbe Schwachstelle im Konfigurationselement des VI aufweist, wird das VI erneut geöffnet.