Drittanbieterintegrationen rufen die Erkennungsdaten für angreifbare Elemente ab. Erkennungen sind eindeutige Vorkommen von Schwachstellen, die von den Scannern gemeldet werden.

Erkennungsdaten werden mit angreifbaren Elementen (VIs, VITs) gekoppelt, und der VI-Status wird basierend auf dem Status der Erkennungen aktualisiert. Wenn kein VI gefunden wird, wird ein neues erstellt. Erkennungen werden nur von den Daten geöffnet oder geschlossen, die direkt von einem Scanner gefunden wurden.

Wenn alle Erkennungen für ein angreifbares Element geschlossen sind, wird dieses angreifbare Element geschlossen. Im VI-Datensatz lautet der Status Geschlossen/Behoben. Wenn alle VIs für eine Korrekturaufgabe geschlossen sind, wird die Korrekturaufgabe geschlossen. Der Statusfluss bleibt ansonsten derselbe.

Geschlossene VIs mit dem Substatus „Repariert“ oder „Veraltet“ werden erneut geöffnet, wenn eine neue Erkennung erstellt wird und die VIs mit der neuen Schwachstelle abgeglichen werden können.

Ab Version 20.0 von Vulnerability Responsegilt: Wenn eine Erkennung veraltet ist und sich das zugehörige VI im Status „Geschlossen“ befindet, wechselt der Status des VI nicht in „Geschlossen – Veraltet“. Dies dient dazu, zu verhindern, dass das AE erneut geöffnet wird, wenn eine neue Erkennung erkannt wird, damit Sie nicht den gesamten Anforderungs- und Genehmigungsprozess für falsch positive Meldungen durchlaufen müssen. Um dieses Verhalten umzukehren, deaktivieren Sie im Formular „Konfiguration für automatisches Schließen“ das Kontrollkästchen Veraltete Erkennungen für geschlossene VIs ignorieren. Weitere Informationen finden Sie unter Veraltete Erkennungen in automatisch schließen Vulnerability Response.

Gemäß der Skripteinbindung DetectionBase, Methode _shouldReOpenVI()wird das VI, das zuvor mit dem Substatus „Repariert“, „Veraltet“ oder „CI außer Betrieb genommen“ Geschlossen war, erneut geöffnet, und die Erkennung wird der vorhandenen VIT zugeordnet.

Angenommen, das Datum der Schließung eines AE liegt nach dem Datum der letzten Feststellung einer Erkennung. Sie erwarten, dass diese VI-Datensätze geschlossen bleiben. Wenn Sie jedoch sehen, dass ein zuvor geschlossenes VI erneut geöffnet wurde, bedeutet dies, dass das VI von einer früheren Erkennung geschlossen wurde und die Schwachstelle bei einem späteren Scan erneut gefunden wurde. Wenn eine neue Erkennung gefunden wird, die mit der geschlossenen VIT übereinstimmt, die dieselbe Schwachstelle im Configuration Item des VI aufweist, wird das VI erneut geöffnet.