Récupération d'urgence ATA

S’applique à : Advanced Threat Analytics version 1.9

Cet article explique comment récupérer rapidement votre Centre ATA et restaurer les fonctionnalités ATA lorsque la fonctionnalité du Centre ATA est perdue, mais que les passerelles ATA fonctionnent toujours.

Remarque

Le processus décrit ne permet pas de récupérer les activités suspectes précédemment détectées, mais elle permet au centre ATA de retrouver sa pleine fonctionnalité. En outre, la période d'apprentissage nécessaire pour certaines détections comportementales redémarre, mais la plupart des détections offertes par l'ATA sont opérationnelles après le rétablissement du Centre ATA.

Sauvegarder votre configuration du Centre ATA

1. La configuration du Centre ATA est sauvegardée dans un fichier toutes les 4 heures. Recherchez la dernière copie de sauvegarde de la configuration du Centre ATA et enregistrez-la sur un ordinateur distinct. Pour obtenir une explication complète de la façon de localiser ces fichiers, consultez Exporter et importer la configuration ATA.

2. Exporter le certificat du Centre ATA.

   1. Dans le gestionnaire de certificat, accéder à Certificats (ordinateur local) ->Personnel ->Certificats, puis sélectionnez Centre ATA.
   2. Cliquer avec le bouton droit sur Centre ATA et sélectionner Toutes les tâches suivies de Exporter.
   3. Suivez les instructions pour exporter le certificat, en vous assurant d’exporter également la clé privée.
   4. Sauvegarder le fichier de certificat exporté sur un ordinateur distinct.

   Remarque

   Si vous ne pouvez pas exporter la clé privée, vous devez créer un certificat et le déployer sur ATA, comme décrit dans Modifier le certificat du Centre ATA, puis l’exporter.

Récupérer votre Centre ATA

1. Créer un ordinateur Windows Server à l’aide de la même adresse IP et du même nom d’ordinateur que l’ordinateur Centre ATA précédent.
2. Importer le certificat que vous avez sauvegardé précédemment sur le nouveau serveur.
3. Suivez les instructions pour déployer le Centre ATA sur le windows Server nouvellement créé. Il n’est pas nécessaire de déployer à nouveau les passerelles ATA. Lorsque vous y êtes invité à entrer un certificat, indiquez le certificat que vous avez exporté lors de la sauvegarde de la configuration du Centre ATA.
4. Arrêter le service Centre ATA.
5. Importer la configuration du Centre ATA sauvegardée :
   1. Supprimer le document de profil système Centre ATA par défaut de MongoDB :
      1. Accédez à C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.
      2. Exécutez mongo.exe ATA
      3. Exécutez cette commande pour supprimer le profil système par défaut : db.SystemProfile.remove({})
      4. Quittez le shell Mongo et revenez à l'invite de commandes en saisissant : exit
   2. Exécutez la commande : mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert à l’aide du fichier de sauvegarde de l’étape 1.
      Pour une explication complète de la localisation et de l'importation des fichiers de sauvegarde, consultez Exporter et importer la configuration ATA.
   3. Démarrer le service Centre ATA.
   4. Ouvrir la console ATA. Vous devez voir toutes les passerelles ATA liées sous l’onglet Configuration/Passerelles.
   5. Veillez à définir un utilisateur des services d’annuaire et à choisir un synchronisateur de contrôleur de domaine.

Voir aussi

• Prérequis ATA
• Planification de capacité ATA
• Configurer la collecte d’événements
• Configuration du transfert d’événements Windows
• Visitez le forum ATA !