Ripristino di emergenza di ATA

Si applica a: Advanced Threat Analytics versione 1.9

Questo articolo descrive come ripristinare rapidamente la funzionalità ATA Center e ripristinare la funzionalità ATA Quando la funzionalità di ATA Center viene persa, ma i gateway ATA continuano a funzionare.

Nota

Il processo descritto non recupera le attività sospette rilevate in precedenza, ma restituisce ATA Center a funzionalità complete. Inoltre, il periodo di apprendimento necessario per alcuni rilevamenti comportamentali verrà riavviato, ma la maggior parte del rilevamento offerto da ATA è operativa dopo il ripristino di ATA Center.

Eseguire il backup della configurazione di ATA Center

1. La configurazione di ATA Center viene sottoposta a backup in un file ogni 4 ore. Individuare la copia di backup più recente della configurazione di ATA Center e salvarla in un computer separato. Per una spiegazione completa di come individuare questi file, vedere Esportare e importare la configurazione di ATA.

2. Esportare il certificato di ATA Center.

   1. In Gestione certificati passare a Certificati (computer locale) ->Personale ->Certificati e selezionare ATA Center.
   2. Fare clic con il pulsante destro del mouse su ATA Center e selezionare Tutte le attività e quindi Esporta.
   3. Seguire le istruzioni per esportare il certificato, assicurandosi di esportare anche la chiave privata.
   4. Eseguire il backup del file di certificato esportato in un computer separato.

   Nota

   Se non è possibile esportare la chiave privata, è necessario creare un nuovo certificato e distribuirlo in ATA, come descritto in Modificare il certificato di ATA Center e quindi esportarlo.

Ripristinare il centro ATA

1. Creare un nuovo computer Windows Server usando lo stesso indirizzo IP e lo stesso nome computer del computer ATA Center precedente.
2. Importare il certificato di cui è stato eseguito il backup in precedenza nel nuovo server.
3. Seguire le istruzioni per distribuire ATA Center in Windows Server appena creato. Non è necessario distribuire di nuovo i gateway ATA. Quando viene richiesto un certificato, specificare il certificato esportato durante il backup della configurazione di ATA Center.
4. Arrestare il servizio ATA Center.
5. Importare la configurazione di ATA Center di cui è stato eseguito il backup:
   1. Rimuovere il documento predefinito del profilo di sistema ATA Center da MongoDB:
      1. Passare a C:\Programmi\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.
      2. Eseguire mongo.exe ATA
      3. Eseguire questo comando per rimuovere il profilo di sistema predefinito: db.SystemProfile.remove({})
      4. Lasciare la shell Mongo e tornare al prompt dei comandi immettendo: exit
   2. Eseguire il comando : mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert usando il file di backup del passaggio 1.
      Per una spiegazione completa di come individuare e importare file di backup, vedere Esportare e importare la configurazione di ATA.
   3. Avviare il servizio ATA Center.
   4. Aprire la console ATA. Verranno visualizzati tutti i gateway ATA collegati nella scheda Configurazione/Gateway.
   5. Assicurarsi di definire un utente di Servizi directory e di scegliere un programma di sincronizzazione controller di dominio.

Vedi anche

• Prerequisiti di ATA
• Pianificazione della capacità di ATA
• Configurare la raccolta di eventi
• Configurazione dell'inoltro di eventi di Windows
• Consulta il forum di ATA!