As integrações de terceiros recuperam os dados de detecção de itens vulneráveis. As detecções são ocorrências distintas de vulnerabilidades conforme relatadas pelos scanners.

Os dados de detecção são emparelhados com itens vulneráveis (VIs, VITs) e o estado de IV é atualizado com base no estado das detecções. Se um IV não for encontrado, um novo será criado. As detecções são abertas ou fechadas somente pelos dados encontrados diretamente por um scanner.

Se todas as detecções de um item vulnerável forem encerradas, esse item vulnerável será encerrado. No registro VI, o estado é Encerrado/Corrigido. Quando todos os IVs são encerrados para uma tarefa de correção, a tarefa de correção é encerrada. Caso contrário, o fluxo de estado permanecerá o mesmo.

IVs encerrados com um subestado fixo ou obsoleto serão reabertos se uma nova detecção for criada e os VIs puderem ser correspondidos com a nova vulnerabilidade.

A partir da versão 20.0 de Resposta a vulnerabilidades, se uma detecção for obsoleta e o IV associado estiver no estado Encerrado, o estado do VI não fará a transição para Encerrado - Obsoleto. Isso evita que o VI seja reaberto quando uma nova detecção for identificada, para que você possa evitar passar por todo o processo de aprovação e solicitação de falso-positivo. Para reverter esse comportamento, desmarque a caixa de seleção Ignorar detecções obsoletas para IVs encerrados no formulário Configuração de fechamento automático. Para obter mais informações, consulte Fechar automaticamente detecções obsoletas no Resposta a vulnerabilidades.

De acordo com a inclusão de script, DetectionBase, método _shouldReOpenVI(), se o VI foi encerrado anteriormente com um subestado de Fixo, Obsoleto ou IC desativado, ele será reaberto e a detecção será mapeada para o VIT existente.

Por exemplo, digamos que a data de encerramento de um VI seja posterior à última data encontrada de uma detecção. Você esperaria que esses registros de IV permanecessem fechados. No entanto, se você vir que um VI encerrado anteriormente foi reaberto, isso significa que o VI foi encerrado por uma detecção anterior e a vulnerabilidade foi encontrada novamente em uma verificação posterior. Quando é encontrada uma nova detecção que corresponde ao VIT encerrado que tem a mesma vulnerabilidade no item de configuração do VI, o VI é reaberto.