Récupération d’urgence ATA

S’applique à : Advanced Threat Analytics version 1.9

Cet article explique comment récupérer rapidement votre centre ATA et restaurer les fonctionnalités ATA lorsque la fonctionnalité du centre ATA est perdue, mais que les passerelles ATA fonctionnent toujours.

Remarque

Le processus décrit ne récupère pas les activités suspectes détectées précédemment, mais retourne le centre ATA à toutes les fonctionnalités. En outre, la période d’apprentissage nécessaire pour certaines détections comportementales redémarre, mais la plupart de la détection proposée par ATA est opérationnelle après la restauration du centre ATA.

Sauvegarder votre configuration du centre ATA

1. La configuration du centre ATA est sauvegardée dans un fichier toutes les 4 heures. Recherchez la dernière copie de sauvegarde de la configuration du centre ATA et enregistrez-la sur un ordinateur distinct. Pour obtenir une explication complète de la façon de localiser ces fichiers, consultez Exporter et importer la configuration ATA.

2. Exportez le certificat du centre ATA.

   1. Dans le gestionnaire de certificats, accédez à Certificats (ordinateur local) ->Personnel ->Certificats, puis sélectionnez Centre ATA.
   2. Cliquez avec le bouton droit sur Centre ATA , puis sélectionnez Toutes les tâches , puis Exporter.
   3. Suivez les instructions pour exporter le certificat, en veillant également à exporter la clé privée.
   4. Sauvegardez le fichier de certificat exporté sur un ordinateur distinct.

   Remarque

   Si vous ne pouvez pas exporter la clé privée, vous devez créer un certificat et le déployer sur ATA, comme décrit dans Modifier le certificat du centre ATA, puis l’exporter.

Récupérer votre centre ATA

1. Créez un ordinateur Windows Server en utilisant la même adresse IP et le même nom d’ordinateur que l’ordinateur précédent du centre ATA.
2. Importez le certificat que vous avez sauvegardé précédemment sur le nouveau serveur.
3. Suivez les instructions pour Déployer le centre ATA sur le Windows Server nouvellement créé. Il n’est pas nécessaire de redéployer les passerelles ATA. Lorsque vous êtes invité à entrer un certificat, indiquez le certificat que vous avez exporté lors de la sauvegarde de la configuration du centre ATA.
4. Arrêtez le service du centre ATA.
5. Importez la configuration du centre ATA sauvegardée :
   1. Supprimez le document profil système ATA Center par défaut de MongoDB :
      1. Accédez à C :\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.
      2. Exécutez mongo.exe ATA
      3. Exécutez cette commande pour supprimer le profil système par défaut : db.SystemProfile.remove({})
      4. Laissez l’interpréteur de commandes Mongo et revenez à l’invite de commandes en entrant : exit
   2. Exécutez la commande : mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert à l’aide du fichier de sauvegarde de l’étape 1.
      Pour obtenir une explication complète de la façon de localiser et d’importer des fichiers de sauvegarde, consultez Exporter et importer la configuration ATA.
   3. Démarrez le service du centre ATA.
   4. Ouvrez la console ATA. Vous devez voir toutes les passerelles ATA liées sous l’onglet Configuration/Passerelles.
   5. Veillez à définir un utilisateur des services d’annuaire et à choisir un synchronisateur de contrôleur de domaine.

Voir aussi

• Prérequis ATA
• Planification de la capacité ATA
• Configurer la collecte d’événements
• Configuration du transfert d’événements Windows
• Consultez le forum ATA !