Drittanbieterintegrationen rufen die Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, die von den Scannern gemeldet werden.

Erkennungsdaten werden mit angreifbaren Elementen (VIs, VITs) kombiniert, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn keine VI gefunden wird, wird eine neue erstellt. Erkennungen werden nur durch die Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden wurden.

Wenn alle Erkennungen für ein angreifbares Element geschlossen sind, wird dieses angreifbare Element geschlossen. Im VI-Datensatz lautet der Status Geschlossen/Korrigiert. Wenn alle AEs für eine Korrekturaufgabe geschlossen sind, wird die Korrekturaufgabe geschlossen. Ansonsten bleibt der Statusfluss derselbe.

Geschlossene AEs mit dem Substatus „Korrigiert“ oder „Veraltet“ werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die AEs mit der neuen Schwachstelle abgeglichen werden können.

Wenn ab Version 20.0 von Vulnerability Responsedie Erkennung „Veraltet“ ist und sich der zugeordnete AE im Status „Geschlossen“ befindet, wechselt der Status des AE nicht in „Geschlossen – Veraltet“. Dadurch wird verhindert, dass der VI erneut geöffnet wird, wenn eine neue Erkennung erkannt wird, sodass Sie nicht den gesamten falsch positiven Anforderungs- und Genehmigungsprozess durchlaufen müssen. Um dieses Verhalten umzukehren, deaktivieren Sie das Kontrollkästchen Veraltete Erkennungen für geschlossene VIs ignorieren im Formular „Konfiguration für automatisches Schließen“. Weitere Informationen finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

Gemäß Skripteinbindung DetectionBase, Methode _shouldReOpenVI()wird die VI, die zuvor mit dem Substatus „Fest“, „Veraltet“ oder „CI außer Betrieb genommen“ geschlossen wurde, erneut geöffnet, und die Erkennung wird der vorhandenen VIT zugeordnet.

Angenommen, das Abschlussdatum einer AEs liegt nach dem Datum des letzten Funds einer Erkennung. Sie würden erwarten, dass diese VI-Datensätze geschlossen bleiben. Wenn Sie jedoch sehen, dass eine zuvor geschlossene VI erneut geöffnet wurde, bedeutet dies, dass die VI durch eine frühere Erkennung geschlossen wurde und die Schwachstelle bei einem späteren Scan erneut gefunden wurde. Wenn eine neue Erkennung gefunden wird, die der geschlossenen VIT entspricht, die dieselbe Schwachstelle im Konfigurationselement der VI aufweist, wird die VI erneut geöffnet.