Drittpartei-Integrationen rufen die Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, wie von den Scannern gemeldet.

Erkennungsdaten werden mit angreifbaren Elementen (VIS, Vits) gekoppelt, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn kein VI gefunden wird, wird ein neues erstellt. Erkennungen werden nur von den Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden werden.

Wenn alle Erkennungen für ein angreifbares Element geschlossen sind, wird dieses angreifbare Element geschlossen. Im VI-Datensatz ist der Status Geschlossen/behoben. Wenn alle VIS für eine Korrekturaufgabe geschlossen sind, wird die Korrekturaufgabe geschlossen. Andernfalls bleibt der Status-Flow gleich.

Geschlossene VIS mit dem Substatus „behoben“ oder „veraltet“ werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die VIS mit der neuen Schwachstelle abgeglichen werden können.

Ab Version 20,0 von Vulnerability Response, Wenn eine Erkennung veraltet ist und sich das zugehörige VI im Status Geschlossen befindet, wechselt der Status des VI nicht in Geschlossen – Veraltet. Dadurch soll verhindert werden, dass das VI erneut geöffnet wird, wenn eine neue Erkennung identifiziert wird, sodass Sie vermeiden können, dass der gesamte falsch positive Anforderungs- und Genehmigungsprozess durchlaufen wird. Um dieses Verhalten umzukehren, deaktivieren Sie Veraltete Erkennungen für geschlossene VIS ignorieren Kontrollkästchen im Formular „Konfiguration automatisch schließen“. Weitere Informationen finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

Gemäß der Skripteinbindung DetectionBase, Methode _shouldReOpenVI(), Wenn das VI zuvor mit dem Substatus „behoben“, „Veraltet“ oder „CI außer Betrieb genommen“ geschlossen wurde, wird es erneut geöffnet, und die Erkennung wird der vorhandenen VIT zugeordnet.

Nehmen wir beispielsweise an, dass das Abschlussdatum eines VIS nach dem Datum der letzten Entdeckung einer Erkennung liegt. Sie sollten davon ausgehen, dass diese VI-Datensätze geschlossen bleiben. Wenn Sie jedoch sehen, dass ein zuvor geschlossenes VI erneut geöffnet wurde, bedeutet dies, dass das VI durch eine frühere Erkennung geschlossen wurde und die Schwachstelle bei einem späteren Scan erneut gefunden wurde. Wenn eine neue Erkennung gefunden wird, die der geschlossenen VIT entspricht, die dieselbe Schwachstelle im Konfigurationselement des VI aufweist, wird das VI erneut geöffnet.