Megosztás a következőn keresztül:

Az ATA vészhelyreállítása

  • Cikk

A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió

Ez a cikk azt ismerteti, hogyan állíthatja helyre gyorsan az ATA-központot, és hogyan állíthatja vissza az ATA-funkciókat, ha az ATA-központ funkciói elvesznek, de az ATA-átjárók továbbra is működnek.

Megjegyzés:

A leírt folyamat nem helyreállítja a korábban észlelt gyanús tevékenységeket, de visszaadja az ATA-központ teljes funkcionalitását. Emellett néhány viselkedésészleléshez szükséges tanulási időszak újraindul, de az ATA által kínált legtöbb észlelés működőképes az ATA-központ visszaállítása után.

Az ATA-központ konfigurációjának biztonsági mentése

  1. Az ATA-központ konfigurációjáról a rendszer 4 óránként készít biztonsági másolatot egy fájlról. Keresse meg az ATA-központ konfigurációjának legújabb biztonsági másolatát, és mentse egy külön számítógépre. A fájlok megkeresésének részletes leírását az ATA-konfiguráció exportálása és importálása című témakörben találja.

  2. Exportálja az ATA-központ tanúsítványát.

    1. A tanúsítványkezelőben lépjen a Tanúsítványok (helyi számítógép) -Személyes ->>Tanúsítványok területre, és válassza az ATA-központ lehetőséget.
    2. Kattintson a jobb gombbal az ATA-központ elemre , és válassza a Minden feladat , majd az Exportálás lehetőséget. ATA-központ tanúsítványa.
    3. Kövesse az utasításokat a tanúsítvány exportálásához, és ügyeljen arra, hogy a titkos kulcsot is exportálja.
    4. Biztonsági másolatot készít az exportált tanúsítványfájlról egy külön számítógépen.

    Megjegyzés:

    Ha nem tudja exportálni a titkos kulcsot, létre kell hoznia egy új tanúsítványt, és üzembe kell helyeznie az ATA-ban az ATA-központ tanúsítványának módosítása című cikkben leírtak szerint, majd exportálnia kell azt.

Az ATA-központ helyreállítása

  1. Hozzon létre egy új Windows Server gépet az előző ATA-központ gépével megegyező IP-címmel és számítógépnévvel.
  2. Importálja a korábban létrehozott tanúsítványt az új kiszolgálóra.
  3. Kövesse az ATA-központ újonnan létrehozott Windows Server való üzembe helyezésére vonatkozó utasításokat. Nincs szükség az ATA-átjárók újbóli üzembe helyezésére. Amikor a rendszer tanúsítványt kér, adja meg az ATA-központ konfigurációjának biztonsági mentésekor exportált tanúsítványt. Az ATA-központ visszaállítása.
  4. Állítsa le az ATA-központ szolgáltatást.
  5. Importálja a biztonsági mentési ATA-központ konfigurációját:
    1. Távolítsa el az alapértelmezett ATA-központ rendszerprofil-dokumentumát a MongoDB-ből:
      1. Lépjen a C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin lapra.
      2. Fut mongo.exe ATA
      3. Futtassa ezt a parancsot az alapértelmezett rendszerprofil eltávolításához: db.SystemProfile.remove({})
      4. Hagyja el a Mongo-felületet, és térjen vissza a parancssorba a következő beírásával: exit
    2. Futtassa a következő parancsot: mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert az 1. lépésben szereplő biztonsági mentési fájl használatával.
      A biztonsági mentési fájlok megkereséséről és importálásáról az ATA-konfiguráció exportálása és importálása című témakörben olvashat bővebben.
    3. Indítsa el az ATA-központ szolgáltatást.
    4. Nyissa meg az ATA-konzolt. Az összes csatolt ATA-átjárónak a Konfiguráció/Átjárók lapon kell megjelennie.
    5. Adjon meg egy Címtárszolgáltatás-felhasználót , és válasszon egy tartományvezérlő-szinkronizálót.

Lásd még