Поделиться через

Аварийное восстановление ATA

  • Статья

Область применения: Advanced Threat Analytics версии 1.9

В этой статье описывается, как быстро восстановить центр ATA и восстановить функции ATA, если функциональность центра ATA будет потеряна, но шлюзы ATA по-прежнему работают.

Примечание.

Описанный процесс не восстанавливает ранее обнаруженные подозрительные действия, но возвращает центр ATA к полной функциональности. Кроме того, период обучения, необходимый для некоторых обнаружения поведения, будет перезапущен, но большая часть обнаружения, которую предлагает ATA, работает после восстановления Центра ATA.

Резервное копирование конфигурации центра ATA

  1. Резервная копия конфигурации центра ATA создается в файл каждые 4 часа. Найдите последнюю резервную копию конфигурации ЦЕНТРА ATA и сохраните ее на отдельном компьютере. Полное описание того, как найти эти файлы, см. в статье Экспорт и импорт конфигурации ATA.

  2. Экспорт сертификата центра ATA.

    1. В диспетчере сертификатов перейдите в раздел Сертификаты (локальный компьютер) ->Личные ->Сертификаты и выберите Центр ATA.
    2. Щелкните правой кнопкой мыши центр ATA и выберите Все задачи , а затем — Экспорт. Сертификат центра ATA.
    3. Следуйте инструкциям по экспорту сертификата, а также экспортируйте закрытый ключ.
    4. Создайте резервную копию экспортированного файла сертификата на отдельном компьютере.

    Примечание.

    Если вы не можете экспортировать закрытый ключ, необходимо создать новый сертификат и развернуть его в ATA, как описано в разделе Изменение сертификата центра ATA, а затем экспортировать его.

Восстановление центра ATA

  1. Создайте компьютер с Windows Server, используя тот же IP-адрес и имя компьютера, что и предыдущий компьютер ЦЕНТРА ATA.
  2. Импортируйте сертификат, который вы резервировали ранее, на новый сервер.
  3. Следуйте инструкциям по развертыванию центра ATA на только что созданном сервере Windows Server. Повторно развертывать шлюзы ATA не требуется. При запросе сертификата укажите сертификат, экспортируемый при резервном копировании конфигурации ЦЕНТРА ATA. Восстановление центра ATA.
  4. Остановите службу центра ATA.
  5. Импортируйте конфигурацию центра ATA с резервной копией:
    1. Удалите документ системного профиля центра ATA по умолчанию из MongoDB:
      1. Перейдите в папку C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.
      2. Запустите mongo.exe ATA
      3. Выполните следующую команду, чтобы удалить системный профиль по умолчанию: db.SystemProfile.remove({})
      4. Оставьте оболочку Mongo и вернитесь в командную строку, введя: exit
    2. Выполните команду : mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert с помощью файла резервной копии из шага 1.
      Полное описание того, как найти и импортировать файлы резервных копий, см. в статье Экспорт и импорт конфигурации ATA.
    3. Запустите службу Центра ATA.
    4. Откройте консоль ATA. На вкладке Конфигурация и шлюзы должны отображаться все шлюзы ATA.
    5. Обязательно определите пользователя служб каталогов и выберите синхронизатор контроллера домена.

См. также