Des intégrations tierces récupèrent les données de détection des éléments vulnérables. Les détections sont des occurrences distinctes de vulnérabilités telles que signalées par les scanners.

Les données de détection sont associées à des éléments vulnérables (VI, VIT) et l’état du VI est mis à jour en fonction de l’état des détections. Si aucun VI n’est trouvé, un nouveau VI est créé. Les détections ne sont ouvertes ou fermées que par les données trouvées directement par un scanner.

Si toutes les détections sont fermées pour un élément vulnérable, cet élément vulnérable est fermé. Sur l’enregistrement du VI, l’état est Fermé/Corrigé. Lorsque tous les VI sont fermés pour une tâche de rattrapage, la tâche de rattrapage est fermée. Sinon, le flux d’état reste le même.

Les VI fermés avec un sous-état fixe ou périmé sont rouverts si une nouvelle détection est créée et que les VI peuvent être mis en correspondance avec la nouvelle vulnérabilité.

À partir de la version 20.0 de Réponse aux vulnérabilités, si une détection est périmée et que le VI associé est à l’état Fermé, l’état du VI ne passe pas à l’état Fermé - Périmé. Cela permet d’éviter que le VI ne se rouvre lorsqu’une nouvelle détection est identifiée afin d’éviter de passer par l’ensemble du processus de demande et d’approbation des faux positifs. Pour inverser ce comportement, décochez la case Ignorer les détections obsolètes pour les VI fermés dans le formulaire Configuration de fermeture automatique. Pour plus d'informations, consultez Fermer automatiquement les détections obsolètes dans Réponse aux vulnérabilités.

Selon le script include, DetectionBase, méthode , _shouldReOpenVI()si le VI a été précédemment fermé avec un sous-état fixe, périmé ou CI désactivé, il est rouvert et la détection est mappée au VIT existant.

Par exemple, supposons que la date de fermeture d’un VI est postérieure à la date lastfound d’une détection. Vous vous attendez à ce que ces enregistrements de VI restent fermés. Toutefois, si vous voyez qu’un VI précédemment fermé s’est rouvert, cela signifie que le VI a été fermé par une détection antérieure et que la vulnérabilité a été retrouvée lors d’une analyse ultérieure. Lorsqu’une nouvelle détection correspond au VIT fermé qui présente la même vulnérabilité sur l’élément de configuration du VI, le VI est rouvert.