Udostępnij przez

Odzyskiwanie po awarii usługi ATA

Dotyczy: Advanced Threat Analytics w wersji 1.9

W tym artykule opisano sposób szybkiego odzyskiwania centrum usługi ATA i przywracania funkcji usługi ATA po utracie funkcji centrum usługi ATA, ale bramy usługi ATA nadal działają.

Uwaga

Opisany proces nie odzyskuje wcześniej wykrytych podejrzanych działań, ale zwraca centrum usługi ATA do pełnej funkcjonalności. Ponadto okres nauki wymagany do wykrycia zachowań zostanie uruchomiony ponownie, ale większość funkcji wykrywania, które oferuje usługa ATA, działa po przywróceniu centrum usługi ATA.

Tworzenie kopii zapasowej konfiguracji centrum usługi ATA

  1. Kopia zapasowa konfiguracji centrum usługi ATA jest kopiowana do pliku co 4 godziny. Znajdź najnowszą kopię zapasową konfiguracji centrum usługi ATA i zapisz ją na osobnym komputerze. Aby uzyskać pełne wyjaśnienie sposobu lokalizowania tych plików, zobacz Eksportowanie i importowanie konfiguracji usługi ATA.

  2. Wyeksportuj certyfikat centrum usługi ATA.

    1. W menedżerze certyfikatów przejdź do pozycji Certyfikaty (komputer lokalny) ->Osobiste ->Certyfikaty, a następnie wybierz pozycję Centrum usługi ATA.
    2. Kliknij prawym przyciskiem myszy pozycję Centrum usługi ATA i wybierz pozycję Wszystkie zadania , a następnie pozycję Eksportuj. Certyfikat centrum usługi ATA.
    3. Postępuj zgodnie z instrukcjami, aby wyeksportować certyfikat, aby również wyeksportować klucz prywatny.
    4. Utwórz kopię zapasową wyeksportowanego pliku certyfikatu na osobnym komputerze.

    Uwaga

    Jeśli nie możesz wyeksportować klucza prywatnego, musisz utworzyć nowy certyfikat i wdrożyć go w usłudze ATA, zgodnie z opisem w temacie Zmienianie certyfikatu centrum usługi ATA, a następnie eksportowanie go.

Odzyskiwanie centrum usługi ATA

  1. Utwórz nową maszynę Windows Server przy użyciu tego samego adresu IP i nazwy komputera, co poprzednia maszyna centrum usługi ATA.
  2. Zaimportuj wcześniej utworzoną kopię zapasową certyfikatu na nowy serwer.
  3. Postępuj zgodnie z instrukcjami, aby wdrożyć centrum usługi ATA na nowo utworzonym Windows Server. Nie ma potrzeby ponownego wdrażania bram usługi ATA. Po wyświetleniu monitu o certyfikat podaj certyfikat wyeksportowany podczas tworzenia kopii zapasowej konfiguracji centrum usługi ATA. Przywracanie centrum usługi ATA.
  4. Zatrzymaj usługę Centrum usługi ATA.
  5. Zaimportuj kopię zapasową konfiguracji centrum usługi ATA:
    1. Usuń domyślny dokument profilu systemu centrum usługi ATA z bazy danych MongoDB:
      1. Przejdź do folderu C:\Program Files\Zaawansowana analiza zagrożeń Microsoft\Center\MongoDB\bin.
      2. Biegać mongo.exe ATA
      3. Uruchom to polecenie, aby usunąć domyślny profil systemowy: db.SystemProfile.remove({})
      4. Pozostaw powłokę Mongo i wróć do wiersza polecenia, wprowadzając następujące polecenie: exit
    2. Uruchom polecenie: mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert przy użyciu pliku kopii zapasowej z kroku 1.
      Aby uzyskać pełne wyjaśnienie sposobu lokalizowania i importowania plików kopii zapasowych, zobacz Eksportowanie i importowanie konfiguracji usługi ATA.
    3. Uruchom usługę Centrum usługi ATA.
    4. Otwórz konsolę usługi ATA. Wszystkie bramy usługi ATA powinny być widoczne na karcie Konfiguracja/bramy.
    5. Pamiętaj, aby zdefiniować użytkownika usług katalogowych i wybrać synchronizator kontrolera domeny.

Zobacz też

  • Last updated on