Les intégrations tierces récupèrent les données de détection des éléments vulnérables. Les détections sont des occurrences distinctes de vulnérabilités telles que signalées par les scanners.

Les données de détection sont associées à des éléments vulnérables (VI, VIT) et l’état du VI est mis à jour en fonction de l’état des détections. Si aucun VI n’est trouvé, un nouveau VI est créé. Les détections ne sont ouvertes ou fermées que par les données trouvées directement par un scanner.

Si toutes les détections sont fermées pour un élément vulnérable, cet élément vulnérable est fermé. Sur l’enregistrement VI, l’état est Fermé/Fixe. Lorsque tous les VI sont fermés pour une tâche de rattrapage, la tâche de rattrapage est fermée. Pour le reste, le flux d’états reste le même.

Les éléments vulnérables fermés avec un sous-état fixe ou périmé sont rouverts si une nouvelle détection est créée et les éléments vulnérables peuvent être mis en correspondance avec la nouvelle vulnérabilité.

À partir de la version 20.0 de Vulnerability Response, si la détection est périmée et que le VI associé est à l’état Fermé, l’état du VI ne passe pas à Fermé : périmé. Cela permet d’éviter que le VI ne se rouvre lorsqu’une nouvelle détection est identifiée et d’éviter de passer par l’ensemble du processus de demande et d’approbation de faux positif. Pour inverser ce comportement, décochez la case Ignorer les détections obsolètes pour les VI fermés sur le formulaire Configuration de fermeture automatique. Pour plus d'informations, consultez Fermer automatiquement les détections obsolètes dans Vulnerability Response.

Selon le script include, DetectionBase, _shouldReOpenVI()si le VI a été précédemment fermé avec un sous-état Fixe, Obsolète ou CI désactivé, il est rouvert et la détection est mappée sur le VIT existant.

Par exemple, supposons que la date de fermeture d’un VI soit postérieure à la date du dernier résultat d’une détection. On peut s’attendre à ce que ces enregistrements de VI restent fermés. Toutefois, si vous voyez qu’un VI précédemment fermé s’est rouvert, cela signifie que le VI a été fermé par une détection antérieure et que la vulnérabilité a été détectée à nouveau lors d’une analyse ultérieure. Lorsqu’une nouvelle détection est détectée qui correspond au VIT fermé qui présente la même vulnérabilité sur l’élément de configuration du VI, le VI est rouvert.