ATA 災害復原

適用於：Advanced Threat Analytics 1.9 版

本文說明如何在 ATA 中心功能遺失但 ATA 閘道仍在運作時，快速復原 ATA 中心並還原 ATA 功能。

注意事項

所述的程式不會復原先前偵測到的可疑活動，但會讓 ATA 中心恢復完整功能。 此外，某些行為偵測所需的學習期間將會重新啟動，但 ATA 提供的大部分偵測都會在 ATA 中心還原之後運作。

備份 ATA 中心設定

1. ATA 中心設定會每隔 4 小時備份一次至檔案。 找出 ATA 中心設定的最新備份複本，並將它儲存在另一部電腦上。 如需如何找出這些檔案的完整說明，請參閱 匯出和匯入 ATA 組態。

2. 匯出 ATA 中心憑證。

   1. 在憑證管理員中，流覽至 [本機 計算機 (憑證) ->Personal ->Certificates]，然後選取 [ATA 中心]。
   2. 以滑鼠右鍵按兩下 [ATA 中心] ，然後選取 [ 所有工作 ]，然後選取 [ 匯出]。
   3. 請遵循指示導出憑證，並務必導出私鑰。
   4. 在另一部計算機上備份導出的憑證檔案。

   注意事項

   如果您無法匯出私鑰，您必須建立新的憑證並將其部署至 ATA，如 變更 ATA 中心憑證中所述，然後匯出它。

復原 ATA 中心

1. 使用與前一部 ATA 中心電腦相同的 IP 位址和計算機名稱，建立新的 Windows Server 機。
2. 將您稍早備份的憑證匯入至新的伺服器。
3. 依照指示在新建立的 Windows Server 上部署 ATA 中心。 不需要再次部署 ATA 閘道。 當系統提示您輸入憑證時，請提供您在備份 ATA 中心設定時導出的憑證。
4. 停止 ATA 中心服務。
5. 匯入備份的 ATA 中心設定：
   1. 從 MongoDB 移除預設 ATA 中心系統設定檔：
      1. 移至 C：\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin。
      2. 執行 mongo.exe ATA
      3. 執行此指令以移除預設系統設定檔： db.SystemProfile.remove({})
      4. 離開 Mongo 殼層，然後輸入下列命令以返回命令提示字元： exit
   2. 執行命令： mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert 使用步驟 1 中的備份檔。
      如需如何尋找和匯入備份檔的完整說明，請參閱 匯出和匯入 ATA 組態。
   3. 啟動 ATA 中心服務。
   4. 開啟 ATA 控制台。 您應該會在 [組態/閘道] 索引標籤下看到所有已連結的 ATA 閘道。
   5. 請務必定義 目錄服務使用者 ，並選擇 域控制器同步器。

另請參閱

• ATA 必要條件
• ATA 容量規劃
• 設定事件集合
• 設定 Windows 事件轉送
• 請參閱 ATA 論壇！