Аварийное восстановление ATA

Область применения: Advanced Threat Analytics версии 1.9

В этой статье описывается, как быстро восстановить центр ATA и восстановить функциональные возможности ATA при потере функциональных возможностей центра ATA, но шлюзы ATA по-прежнему работают.

Примечание.

Описанный процесс не восстанавливает ранее обнаруженные подозрительные действия, но возвращает Центр ATA в полную функциональность. Кроме того, период обучения, необходимый для некоторых обнаружений поведения, будет перезапущен, но большая часть обнаружения, которое предлагает ATA, работает после восстановления центра ATA.

Резервное копирование конфигурации Центра ATA

1. Конфигурация Центра ATA выполняет резервное копирование в файл каждые 4 часа. Найдите последнюю резервную копию конфигурации Центра ATA и сохраните ее на отдельном компьютере. Полное описание того, как найти эти файлы, см. в разделе "Экспорт и импорт конфигурации ATA".

2. Экспортируйте сертификат Центра ATA.

   1. В диспетчере сертификатов перейдите к сертификатам (локальный компьютер) ->Personal ->Certificates и выберите центр ATA.
   2. Щелкните правой кнопкой мыши центр ATA и выберите пункт "Все задачи", а затем " Экспорт".
   3. Следуйте инструкциям по экспорту сертификата, обязательно экспортируйте закрытый ключ.
   4. Резервное копирование экспортированного файла сертификата на отдельном компьютере.

   Примечание.

   Если вы не можете экспортировать закрытый ключ, необходимо создать сертификат и развернуть его в ATA, как описано в разделе "Изменение сертификата Центра ATA", а затем экспортировать его.

Восстановление центра ATA

1. Создайте новый компьютер Windows Server с тем же IP-адресом и именем компьютера, что и предыдущий компьютер Центра ATA.
2. Импортируйте сертификат, который вы создали ранее, на новый сервер.
3. Следуйте инструкциям по развертыванию Центра ATA на только что созданном сервере Windows Server. Вам не нужно снова развертывать шлюзы ATA. При появлении запроса на сертификат укажите сертификат, экспортируемый при резервном копировании конфигурации Центра ATA.
4. Остановите службу центра ATA.
5. Импортируйте конфигурацию центра ATA с резервной копией:
   1. Удалите документ профиля системы центра ATA по умолчанию из MongoDB:
      1. Перейдите к C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.
      2. Выполнить mongo.exe ATA
      3. Выполните следующую команду, чтобы удалить системный профиль по умолчанию: db.SystemProfile.remove({})
      4. Оставьте оболочку Mongo и вернитесь в командную строку, введя следующее: exit
   2. Выполните команду: mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert с помощью файла резервной копии из шага 1.
      Полное описание того, как найти и импортировать файлы резервного копирования, см. в статье "Экспорт и импорт конфигурации ATA".
   3. Запустите службу центра ATA.
   4. Откройте консоль ATA. На вкладке "Конфигурация и шлюзы" должны отображаться все шлюзы ATA.
   5. Обязательно определите пользователя служб каталогов и выберите синхронизатор контроллера домена.

См. также

• Предварительные требования ATA
• Планирование емкости ATA
• Настройка коллекции событий
• Настройка пересылки событий Windows
• Ознакомьтесь с форумом ATA!