通过

ATA 灾难恢复

  • 项目

适用于:高级威胁分析版本 1.9

本文介绍如何在 ATA 中心功能丢失但 ATA 网关仍在工作时快速恢复 ATA 中心并还原 ATA 功能。

注意

所述过程不会恢复以前检测到的可疑活动,但会将 ATA 中心恢复为完整功能。 此外,某些行为检测所需的学习期将重启,但 ATA 提供的大部分检测在 ATA 中心还原后可正常运行。

备份 ATA 中心配置

  1. ATA 中心配置每隔 4 小时备份一个文件。 找到 ATA 中心配置的最新备份副本,并将其保存在单独的计算机上。 有关如何查找这些文件的完整说明,请参阅 导出和导入 ATA 配置

  2. 导出 ATA 中心证书。

    1. 在证书管理器中,导航到 “证书 (本地计算机) ->个人 ->证书”,然后选择“ ATA 中心”。
    2. 右键单击“ ATA 中心 ”,然后选择“ 所有任务” ,然后选择“ 导出”。 ATA 中心证书。
    3. 按照说明导出证书,确保也导出私钥。
    4. 在单独的计算机上备份导出的证书文件。

    注意

    如果无法导出私钥,则必须创建一个新证书并将其部署到 ATA,如 更改 ATA 中心证书中所述,然后导出它。

恢复 ATA 中心

  1. 使用与以前的 ATA 中心计算机相同的 IP 地址和计算机名称创建新的Windows Server计算机。
  2. 将之前备份的证书导入新服务器。
  3. 按照说明在新创建的Windows Server上部署 ATA 中心。 无需再次部署 ATA 网关。 当系统提示输入证书时,请提供备份 ATA 中心配置时导出的证书。 ATA 中心还原。
  4. 停止 ATA 中心服务。
  5. 导入备份的 ATA 中心配置:
    1. 从 MongoDB 中删除默认 ATA Center 系统配置文件文档:
      1. 转到 C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin
      2. 运行 mongo.exe ATA
      3. 运行以下命令以删除默认系统配置文件: db.SystemProfile.remove({})
      4. 离开 Mongo shell,然后通过输入以下命令返回到命令提示符: exit
    2. 运行命令: mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert 使用步骤 1 中的备份文件。
      有关如何查找和导入备份文件的完整说明,请参阅 导出和导入 ATA 配置
    3. 启动 ATA 中心服务。
    4. 打开 ATA 控制台。 应该会在“配置/网关”选项卡下看到所有链接的 ATA 网关。
    5. 请确保定义 目录服务用户 并选择 域控制器同步器

另请参阅