Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Аварийное восстановление АТАATA disaster recovery

В этой статье описано, как быстро восстановить центр и функции ATA после сбоя, когда центр АТА отключен, а шлюзы АТА работают.This article describes how to quickly recover your ATA Center and restore ATA functionality when the ATA Center functionality is lost but the ATA Gateways are still working.

Примечание

Описанный процесс не позволяет восстановить ранее обнаруженные подозрительные действия, но возвращает центр ATA в состояние полной работоспособности.The process described does not recover previously detected suspicious activities but does return the ATA Center to full functionality. Кроме того, будет повторно запущено обучение с целью обнаружения некоторых моделей поведения. Большая часть таких обнаруженных моделей, предлагаемых ATA, будет работоспособной после восстановления центра ATA.Additionally, the learning period needed for some behavioral detections will restart, but most of the detection that ATA offers is operational after the ATA Center is restored.

Резервное копирование конфигурации центра ATABack up your ATA Center configuration

  1. Резервная копия конфигурации центра ATA записывается в файл каждый час.The ATA Center configuration is backed up to a file every hour. Найдите последнюю резервную копию конфигурации центра ATA и сохраните ее на отдельном компьютере.Locate the latest backup copy of the ATA Center configuration and save it on a separate computer. Полное описание того, как найти эти файлы, см. в статье Экспорт и импорт конфигурации ATA.For a full explanation of how to locate these files, see Export and import the ATA configuration.
  2. Экспортируйте сертификат центра ATA.Export the ATA Center certificate.

    1. В диспетчере сертификатов щелкните Сертификаты — локальный компьютер -> Личные ->Сертификаты и выберите Центр ATA.In the certificate manager, navigate to Certificates (Local Computer) -> Personal ->Certificates, and select ATA Center.
    2. Щелкните правой кнопкой мыши Центр ATA, а затем выберите Все задачи и Экспорт.Right-click ATA Center and select All Tasks followed by Export. Сертификат центра ATAATA Center Certificate
    3. Следуйте инструкциям, чтобы экспортировать сертификат и (обязательно) закрытый ключ.Follow the instructions to export the certificate, making sure to export the private key as well.
    4. Создайте резервную копию экспортированного файла сертификата на отдельном компьютере.Back up the exported certificate file on a separate computer.

    Примечание

    Если экспортировать закрытый ключ не удается, создайте другой сертификат и разверните его в ATA, как описано в статье Изменение конфигурации ATA. Сертификат центра ATA, а затем экспортируйте его.If you cannot export the private key, you must create a new certificate and deploy it to ATA, as described in Change the ATA Center certificate, and then export it.

Восстановление центра ATARecover your ATA Center

  1. Создайте сервер Windows Server, используя те же IP-адрес и имя компьютера, как и для предыдущего сервера с центром ATA.Create a new Windows Server machine using the same IP address and computer name as the previous ATA Center machine.
  2. Импортируйте на новый сервер резервную копию сертификата, созданную ранее.Import the certificate you backed up earlier, to the new server.
  3. Следуйте инструкциям, чтобы развернуть центр ATA на только что созданном сервере Windows Server.Follow the instructions to Deploy the ATA Center on the newly created Windows Server. Развертывать шлюзы ATA снова не нужно.There is no need to deploy the ATA Gateways again. При появлении запроса на сертификат укажите сертификат, экспортированный при резервном копировании конфигурации центра ATA.When prompted for a certificate, provide the certificate you exported when backing up the ATA Center configuration. Восстановление центра ATAATA Center restore
  4. Остановите службу центра ATA.Stop the ATA Center service.
  5. Импортируйте резервную конфигурацию центра ATA:Import the backed-up ATA Center configuration:
    1. Удалите из MongoDB документ с системным профилем центра ATA по умолчанию:Remove the default ATA Center System Profile document from the MongoDB:
      1. Перейдите в каталог C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.Go to C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.
      2. Выполнить mongo.exe ATARun mongo.exe ATA
      3. Запустите службу центра ATA.Start the ATA Center service.
      4. Выполните следующую команду, чтобы удалить системный профиль по умолчанию: db.SystemProfile.remove({})Run this command to remove the default system profile: db.SystemProfile.remove({})
    2. Выполните команду mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert, используя файл резервной копии из шага 1.Run the command: mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert using the backup file from step 1.
      Полное описание того, как найти и импортировать файлы резервной копии, см. в статье Экспорт и импорт конфигурации ATA.For a full explanation of how to locate and import backup files, see Export and import the ATA configuration.
    3. Откройте консоль ATA.Open the ATA Console. Вы должны увидеть все связанные шлюзы ATA на вкладке с конфигурациями и шлюзами.You should see all the ATA Gateways linked under the Configuration/Gateways tab.
    4. Обязательно определите пользователя служб каталогов и выберите синхронизатор контроллера домена.Make sure to define a Directory services user and to choose a Domain controller synchronizer.

См. такжеSee Also