Recuperación ante desastres de ATA

Se aplica a: Advanced Threat Analytics versión 1.9

En este artículo se describe cómo recuperar rápidamente el Centro ATA y restaurar la funcionalidad de ATA cuando se pierde la funcionalidad del Centro ATA, pero las puertas de enlace de ATA siguen funcionando.

Nota:

El proceso descrito no recupera las actividades sospechosas detectadas anteriormente, pero devuelve el Centro ATA a la funcionalidad completa. Además, se reiniciará el período de aprendizaje necesario para algunas detecciones de comportamiento, pero la mayoría de la detección que ofrece ATA está operativa después de restaurar el Centro ATA.

Copia de seguridad de la configuración del Centro ATA

1. Se realiza una copia de seguridad de la configuración del Centro ATA en un archivo cada 4 horas. Busque la copia de seguridad más reciente de la configuración del Centro ATA y guárdela en un equipo independiente. Para obtener una explicación completa de cómo localizar estos archivos, consulte Exportación e importación de la configuración de ATA.

2. Exporte el certificado del Centro ATA.

   1. En el administrador de certificados, vaya a Certificados (equipo local) ->Personal ->Certificates y seleccione Centro ATA.
   2. Haga clic con el botón derecho en Centro ATA y seleccione Todas las tareas seguidas de Exportar.
   3. Siga las instrucciones para exportar el certificado y asegúrese de exportar también la clave privada.
   4. Realice una copia de seguridad del archivo de certificado exportado en un equipo independiente.

   Nota:

   Si no puede exportar la clave privada, debe crear un nuevo certificado e implementarlo en ATA, como se describe en Cambio del certificado del Centro ATA y, a continuación, exportarlo.

Recuperación del centro de ATA

1. Cree una nueva máquina con Windows Server con la misma dirección IP y el mismo nombre de equipo que la máquina del Centro ATA anterior.
2. Importe el certificado del que ha hecho una copia de seguridad anteriormente en el nuevo servidor.
3. Siga las instrucciones para implementar el Centro ATA en windows Server recién creado. No es necesario volver a implementar las puertas de enlace de ATA. Cuando se le solicite un certificado, proporcione el certificado que exportó al realizar una copia de seguridad de la configuración del Centro ATA.
4. Detenga el servicio del Centro ATA.
5. Importe la configuración del Centro ATA de copia de seguridad:
   1. Quite el documento de perfil de sistema de ATA Center predeterminado de MongoDB:
      1. Vaya a C:\Archivos de programa\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.
      2. Ejecute mongo.exe ATA
      3. Ejecute este comando para quitar el perfil predeterminado del sistema: db.SystemProfile.remove({})
      4. Deje el shell de Mongo y vuelva al símbolo del sistema escribiendo: exit
   2. Ejecute el comando : mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert con el archivo de copia de seguridad del paso 1.
      Para obtener una explicación completa de cómo buscar e importar archivos de copia de seguridad, consulte Exportación e importación de la configuración de ATA.
   3. Inicie el servicio del Centro ATA.
   4. Abra la consola de ATA. Debería ver todas las puertas de enlace de ATA vinculadas en la pestaña Configuración/puertas de enlace.
   5. Asegúrese de definir un usuario de Servicios de directorio y de elegir un sincronizador de controlador de dominio.

Consulta también

• Requisitos previos de ATA
• Planeamiento de la capacidad de ATA
• Configuración de la colección de eventos
• Configuración del reenvío de eventos de Windows
• Consulte el foro de ATA.