שתף באמצעות

שחזור מאסונות של ATA

חל על: Advanced Threat Analytics גירסה 1.9

מאמר זה מתאר כיצד לשחזר במהירות את פונקציונליות ATA Center ולשחזר את פונקציונליות ATA כאשר הפונקציונליות של מרכז ATA אובדת, אך שערי ATA עדיין פועלים.

הערה

התהליך המתואר אינו משחזר פעילויות חשודות שזוהו בעבר, אך מחזיר את מרכז ATA לפונקציונליות מלאה. בנוסף, תקופת הלמידה הדרושה עבור זיהויים התנהגותיים מסוימים תתופעל מחדש, אך רוב הזיהוי שהצעות ATA פועלות לאחר שחזור מרכז ATA.

גיבוי התצורה של מרכז ATA

  1. התצורה של מרכז ה- ATA מגבה בקובץ כל 4 שעות. אתר את עותק הגיבוי העדכני ביותר של תצורת ATA Center ושמור אותו במחשב נפרד. לקבלת הסבר מלא אודות אופן איתור קבצים אלה, ראה ייצוא וייבוא של תצורת ATA.

  2. יצא את אישור מרכז ATA.

    1. במנהל האישורים, נווט אל אישורים (מחשב מקומי) ->אישי ->אישורים ובחר מרכז ATA.
    2. לחץ באמצעות לחצן העכבר הימני על מרכז הנתונים ובחר כל המשימות ולאחר מכן יצא. אישור מרכז ATA.
    3. בצע את ההוראות כדי לייצא את האישור, הקפד לייצא גם את המפתח הפרטי.
    4. גבה את קובץ האישור המיוצא במחשב נפרד.

    הערה

    אם אין באפשרותך לייצא את המפתח הפרטי, עליך ליצור אישור חדש ולפרוס אותו ב- ATA, כמתואר במאמר שינוי אישור מרכז ATA ולאחר מכן לייצא אותו.

שחזור מרכז ATA

  1. צור מחשב Windows Server באמצעות אותה כתובת IP ואת שם המחשב של מחשב ATA Center הקודם.
  2. ייבא את האישור ש לגבות קודם לכן, לשרת החדש.
  3. בצע את ההוראות כדי לפרוס את מרכז ATA בגירסה החדשה שנוצרה Windows Server. אין צורך לפרוס שוב את שערי ATA. כאשר תתבקש לספק אישור, ספק את האישור שייצאת בעת גיבוי התצורה של מרכז ATA. שחזור מרכז ATA.
  4. הפסק את שירות ATA Center.
  5. יבא את התצורה של מרכז ATA מגבה:
    1. הסר את מסמך ברירת המחדל של ATA Center System Profile מ- MongoDB:
      1. עבור אל C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.
      2. רץ mongo.exe ATA
      3. הפעל פקודה זו כדי להסיר את פרופיל המערכת המוגדר כברירת מחדל: db.SystemProfile.remove({})
      4. צא ממעטפת Mongo וחזור אל שורת הפקודה על-ידי הזנת: exit
    2. הפעל את הפקודה: mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert שימוש בקובץ הגיבוי בשלב 1.
      לקבלת הסבר מלא על האופן לאיתור וייבוא של קבצי גיבוי, ראה ייצוא וייבוא של תצורת ATA.
    3. הפעל את שירות ATA Center.
    4. פתח את מסוף ATA. אתה אמור לראות את כל שערי ATA המקושרים תחת הכרטיסיה תצורה/שערים.
    5. הקפד להגדיר משתמש שירותי מדריך כתובות ולבחורמסנכרן בקר תחום.

ראה גם