ATA 재해 복구

적용 대상: Advanced Threat Analytics 버전 1.9

이 문서에서는 ATA 센터 기능이 손실되었지만 ATA 게이트웨이가 여전히 작동 중인 경우 ATA 센터를 신속하게 복구하고 ATA 기능을 복원하는 방법을 설명합니다.

참고

설명된 프로세스는 이전에 검색된 의심스러운 활동을 복구하지 않지만 ATA 센터를 전체 기능으로 반환합니다. 또한 일부 동작 검색에 필요한 학습 기간이 다시 시작되지만 ATA 센터가 복원된 후 ATA에서 제공하는 대부분의 검색이 작동합니다.

ATA 센터 구성 백업

1. ATA 센터 구성은 4시간마다 파일에 백업됩니다. ATA 센터 구성의 최신 백업 복사본을 찾아 별도의 컴퓨터에 저장합니다. 이러한 파일을 찾는 방법에 대한 전체 설명은 ATA 구성 내보내기 및 가져오기를 참조하세요.

2. ATA 센터 인증서를 내보냅니다.

   1. 인증서 관리자에서 인증서(로컬 컴퓨터) - 개인 ->>인증서로 이동하고 ATA 센터를 선택합니다.
   2. ATA 센터를 마우스 오른쪽 단추로 클릭하고 모든 작업과 내보내기를 차례로 선택합니다.
   3. 지침에 따라 인증서를 내보내고 프라이빗 키도 내보냅니다.
   4. 내보낸 인증서 파일을 별도의 컴퓨터에 백업합니다.

   참고

   프라이빗 키를 내보낼 수 없는 경우 ATA 센터 인증서 변경에 설명된 대로 새 인증서를 만들어 ATA에 배포한 다음 내보내야 합니다.

ATA 센터 복구

1. 이전 ATA 센터 컴퓨터와 동일한 IP 주소 및 컴퓨터 이름을 사용하여 새 Windows Server 컴퓨터를 만듭니다.
2. 이전에 백업한 인증서를 새 서버로 가져옵니다.
3. 지침에 따라 새로 만든 Windows Server에 ATA 센터를 배포 합니다. ATA 게이트웨이를 다시 배포할 필요가 없습니다. 인증서를 묻는 메시지가 표시되면 ATA 센터 구성을 백업할 때 내보낸 인증서를 제공합니다.
4. ATA 센터 서비스를 중지합니다.
5. 백업된 ATA 센터 구성을 가져옵니다.
   1. MongoDB에서 기본 ATA 센터 시스템 프로필 문서를 제거합니다.
      1. C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin으로 이동합니다.
      2. mongo.exe ATA 실행
      3. 기본 시스템 프로필을 제거하려면 다음 명령을 실행합니다. db.SystemProfile.remove({})
      4. Mongo 셸을 그대로 두고 다음을 입력하여 명령 프롬프트로 돌아갑니다. exit
   2. 1단계의 백업 파일을 사용하여 명령을 mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert 실행합니다.
      백업 파일을 찾고 가져오는 방법에 대한 전체 설명은 ATA 구성 내보내기 및 가져오기를 참조하세요.
   3. ATA 센터 서비스를 시작합니다.
   4. ATA 콘솔을 엽니다. 구성/게이트웨이 탭 아래에 연결된 모든 ATA 게이트웨이가 표시됩니다.
   5. 디렉터리 서비스 사용자를 정의하고 도메인 컨트롤러 동기화기를 선택해야 합니다.

참고 항목

• ATA 필수 구성 요소
• ATA 용량 계획
• 이벤트 컬렉션 구성
• Windows 이벤트 전달 구성
• ATA 포럼을 확인하세요!