ATA 災害復原

適用于：進階威脅分析 1.9 版

本文說明如何快速復原 ATA 中心，並在 ATA 中心功能遺失但 ATA 閘道仍在運作時還原 ATA 功能。

注意

所述的程式不會復原先前偵測到的可疑活動，但會將 ATA 中心傳回完整功能。此外，某些行為偵測所需的學習期間將會重新開機，但 ATA 所提供的大部分偵測會在 ATA 中心還原之後運作。

備份 ATA 中心設定

ATA 中心組態會每隔 4 小時備份至檔案。找出 ATA 中心組態的最新備份複本，並將它儲存在個別的電腦上。如需如何找出這些檔案的完整說明，請參閱匯出和匯入 ATA 組態。
匯出 ATA 中心憑證。
1. 在憑證管理員中，流覽至 [憑證][本機電腦] - > [個人 - > 憑證 ]，然後選取 [ATA 中心 ]。
2. 以滑鼠右鍵按一下 ATA 中心 ，然後選取 [所有工作 ]，然後選取 [ 匯出 ]。
3. 依照指示匯出憑證，請務必匯出私密金鑰。
4. 在個別的電腦上備份匯出的憑證檔案。
注意

如果您無法匯出私密金鑰，您必須建立新的憑證並將其部署至 ATA，如變更 ATA 中心憑證中所述，然後匯出它。

使用與先前 ATA 中心電腦相同的 IP 位址和電腦名稱稱，建立新的 Windows Server 電腦。
將您稍早備份的憑證匯入至新的伺服器。
依照指示在新建立的 Windows Server 上部署 ATA 中心。不需要再次部署 ATA 閘道。當系統提示您輸入憑證時，請提供您在備份 ATA 中心設定時匯出的憑證。
停止 ATA 中心服務。
匯入備份的 ATA 中心組態：
1. 從 MongoDB 移除預設 ATA 中心系統設定檔檔：
  1. 移至 C：\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin 。
  2. mongo.exe ATA執行
  3. 執行此命令以移除預設系統設定檔： db.SystemProfile.remove({})
  4. 輸入下列命令提示字元，讓 Mongo 殼層保持並返回命令提示字元： exit
2. 執行命令： mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert 使用步驟 1 中的備份檔案。
  如需如何尋找和匯入備份檔案的完整說明，請參閱匯出和匯入 ATA 組態。
3. 啟動 ATA 中心服務。
4. 開啟 ATA 主控台。您應該會看到 [設定/閘道] 索引標籤下連結的所有 ATA 閘道。
5. 請務必定義目錄服務使用者 ，並選擇 網域控制站同步器 。