Zotavení po havárii ATA

Platí pro: Advanced Threat Analytics verze 1.9

Tento článek popisuje, jak rychle obnovit ATA Center a obnovit funkce ATA, když dojde ke ztrátě funkce ATA Center, ale komponenty ATA Gateway stále fungují.

Poznámka

Popsaný proces neobnoví dříve zjištěné podezřelé aktivity, ale vrátí ata center do plné funkčnosti. Kromě toho se restartuje doba učení potřebná pro některé detekce chování, ale většina detekce, kterou ATA nabízí, je funkční po obnovení ATA Center.

Zálohování konfigurace ATA Center

1. Konfigurace ATA Center se každé 4 hodiny zálohuje do souboru. Vyhledejte nejnovější záložní kopii konfigurace ATA Center a uložte ji na samostatný počítač. Úplné vysvětlení toho, jak tyto soubory najít, najdete v tématu Export a import konfigurace ATA.

2. Exportujte certifikát ATA Center.

   1. Ve správci certifikátů přejděte na Certifikáty (místní počítač) –>Osobní –>Certifikáty a vyberte ATA Center.
   2. Klikněte pravým tlačítkem na ATA Center a vyberte Všechny úkoly a pak export.
   3. Postupujte podle pokynů k exportu certifikátu a nezapomeňte exportovat také privátní klíč.
   4. Zálohujte exportovaný soubor certifikátu na samostatném počítači.

   Poznámka

   Pokud privátní klíč nemůžete exportovat, musíte vytvořit nový certifikát a nasadit ho do ATA, jak je popsáno v tématu Změna certifikátu ATA Center a pak ho exportovat.

Obnovení ATA Center

1. Vytvořte nový Windows Server počítač se stejnou IP adresou a názvem počítače jako předchozí počítač ATA Center.
2. Importujte certifikát, který jste zálohovali dříve, na nový server.
3. Postupujte podle pokynů k nasazení ATA Center na nově vytvořeném Windows Server. Ata Gateway není potřeba nasazovat znovu. Po zobrazení výzvy k zadání certifikátu zadejte certifikát, který jste exportovali při zálohování konfigurace ATA Center.
4. Zastavte službu ATA Center.
5. Importujte zálohovanou konfiguraci ATA Center:
   1. Odeberte z MongoDB výchozí dokument profilu systému ATA Center:
      1. Přejděte na C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.
      2. Běžet mongo.exe ATA
      3. Spuštěním tohoto příkazu odeberte výchozí profil systému: db.SystemProfile.remove({})
      4. Opusťte prostředí Mongo a vraťte se na příkazový řádek zadáním: exit
   2. Spusťte příkaz: mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert pomocí záložního souboru z kroku 1.
      Úplné vysvětlení, jak najít a importovat záložní soubory, najdete v tématu Export a import konfigurace ATA.
   3. Spusťte službu ATA Center.
   4. Otevřete konzolu ATA. Na kartě Konfigurace/Brány by se měly zobrazit propojené všechny komponenty ATA Gateway.
   5. Nezapomeňte definovat uživatele adresářových služeb a zvolit synchronizátor řadiče domény.

Viz taky

• Požadavky ATA
• Plánování kapacity ATA
• Konfigurace shromažďování událostí
• Konfigurace předávání událostí systému Windows
• Podívejte se na fórum ATA!