Recuperación ante desastres de ATA

Se aplica a: Advanced Threat Analytics versión 1.9

En este artículo se describe cómo recuperar rápidamente el Centro de ATA y restaurar la funcionalidad de ATA cuando se pierde la funcionalidad del Centro de ATA, pero las puertas de enlace de ATA siguen funcionando.

Nota:

El proceso descrito no recupera actividades sospechosas detectadas anteriormente, pero devuelve el Centro de ATA a la funcionalidad completa. Además, el período de aprendizaje necesario para algunas detecciones de comportamiento se reiniciará, pero la mayoría de las detecciones que ofrece ATA están operativas después de restaurar el Centro de ATA.

Copia de seguridad de la configuración del Centro de ATA

1. Se realiza una copia de seguridad de la configuración del Centro de ATA en un archivo cada 4 horas. Busque la última copia de seguridad de la configuración del Centro de ATA y guárdela en un ordenador independiente. Para obtener una explicación completa de cómo localizar estos archivos, consulte Exportación e importación de la configuración de ATA.

2. Exporte el certificado del Centro de ATA.

   1. En el administrador de certificados, vaya a Certificados (equipo local) ->Personal ->Certificados y seleccione Centro de ATA.
   2. Haga clic con el botón derecho en Centro de ATA, seleccione Todas las tareas y después Exportar.
   3. Siga las instrucciones para exportar el certificado y asegúrese de exportar también la clave privada.
   4. Realice una copia de seguridad del archivo de certificado exportado en un ordenador independiente.

   Nota:

   Si no puede exportar la clave privada, debe crear un nuevo certificado, implementarlo en ATA, como se describe en Cambiar el certificado del Centro de ATA, y después exportarlo.

Recuperación del centro de ATA

1. Cree una nueva máquina de Windows Server con la misma dirección IP y el mismo nombre de equipo que la máquina del Centro de ATA anterior.
2. Importe el certificado del que ha creado una copia de seguridad anteriormente en el nuevo servidor.
3. Siga las instrucciones para implementar el Centro de ATA en el Windows Server recién creado. No es necesario volver a implementar las puertas de enlace de ATA. Cuando se le solicite un certificado, proporcione el certificado que exportó al realizar la copia de seguridad de la configuración del Centro de ATA.
4. Detenga el servicio del Centro de ATA.
5. Importe la configuración del Centro de ATA de la copia de seguridad:
   1. Elimine el documento de perfil de sistema del Centro de ATA predeterminado de MongoDB:
      1. Vaya a C:\Archivos de programa\Microsoft Advanced Threat Analytics\Centro\MongoDB\bin.
      2. Ejecute mongo.exe ATA.
      3. Ejecute este comando para eliminar el perfil de sistema predeterminado: db.SystemProfile.remove({}).
      4. Deje el shell de Mongo y escriba exit para volver al símbolo del sistema.
   2. Ejecute el comando : mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert mediante el archivo de copia de seguridad del paso 1.
      Para obtener una explicación completa de cómo localizar e importar estos archivos de copia de seguridad, consulte Exportación e importación de la configuración de ATA.
   3. Inicie el servicio del Centro de ATA.
   4. Abra la consola de ATA. Debería ver todas las puertas de enlace de ATA vinculadas en la pestaña Configuration/Gateways.
   5. Asegúrese de definir un usuario de servicios de directorio y de elegir un sincronizador de controlador de dominio.

Consulte también

• Requisitos previos ATA
• Planeamiento de capacidad de ATA
• Configuración de la recopilación de eventos
• Configuración del reenvío de eventos de Windows
• Consulte el foro de ATA