ATA ディザスター リカバリー
適用対象: Advanced Threat Analytics Version 1.9
この記事では、ATA センターの機能が失われ、ATA ゲートウェイがまだ動作している場合に、ATA センターをすばやく回復し、ATA 機能を復元する方法について説明します。
Note
前述のプロセスでは、以前に検出された不審なアクティビティは復旧されませんが、ATA センターは完全な機能に戻ります。 さらに、一部の動作検出に必要な学習期間は再開されますが、ATA センターの復元後に ATA が提供する検出のほとんどは動作します。
ATA センターの構成をバックアップする
ATA センターの構成は、4 時間ごとにファイルにバックアップされます。 ATA センター構成の最新のバックアップ コピーを見つけて、別のコンピューターに保存します。 これらのファイルを検索する方法の詳細については、「ATA 構成のエクスポートとインポート」を参照してください。
ATA センターの認定資格証をエクスポートします。
- 認定資格証マネージャーで、[認定資格証 (ローカル コンピューター)] ->[個人] - >[認定資格証] の順に選択し、[ATA センター] を選択します。
- [ATA センター] を右クリックして、[すべてのタスク] > [エクスポート] の順に選択します。
- 指示に従って認定資格証をエクスポートし、秘密キーもエクスポートします。
- エクスポートした認定資格証ファイルを別のコンピューターにバックアップします。
Note
秘密キーをエクスポートできない場合は、「ATA センター認定資格証の変更」の説明に従って、新しい認定資格証を作成して ATA にデプロイしてからエクスポートする必要があります。
ATA センターを回復する
- 前の ATA センター コンピューターと同じ IP アドレスとコンピューター名を使用して、新しい Windows Server コンピューターを作成します。
- 前にバックアップした認定資格証を新しいサーバーにインポートします。
- 指示に従って、新しく作成した Windows Server に ATA センター を展開します。 ATA ゲートウェイをもう一度デプロイする必要はありません。 認定資格証の入力を求められたら、ATA センター構成のバックアップ時にエクスポートした認定資格証を指定します。
- ATA センター サービスを停止します。
- バックアップされた ATA センター構成をインポートする:
- MongoDB からデフォルトの ATA センター システム プロファイル ドキュメントを削除します。
- C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin に移動します。
mongo.exe ATA
を実行します。db.SystemProfile.remove({})
のコマンドを実行して、デフォルト システム プロファイルを削除します。- Mongo シェルを終了し、
exit
と入力してコマンド プロンプトに戻ります。
- 手順 1 のバックアップ ファイルを使用して、
mongoimport.exe --db ATA --collection SystemProfile --file "<SystemProfile.json backup file>" --upsert
コマンドを実行します。バックアップ ファイルを見つけてインポートする方法の詳細については、「ATA 構成のエクスポートとインポート」を参照してください。 - ATA センター サービスを開始します。
- ATA コンソールを開きます。 [構成]/[ゲートウェイ] タブにリンクされているすべての ATA ゲートウェイが表示されます。
- ディレクトリ サービス ユーザーが定義され、ドメイン コントローラー シンクロナイザーが選択されていることを確認します。
- MongoDB からデフォルトの ATA センター システム プロファイル ドキュメントを削除します。