Warnung, wenn ein bestimmter Prozess auf einem Gerät startet oder stoppt. Der Prozessmonitor beobachtet einen benannten Prozess nach exaktem Namen und wird ausgelöst, wenn die von Ihnen konfigurierte Bedingung erfüllt ist — ob ein kritischer Prozess verschwindet oder ein nicht autorisierter Prozess auftritt.
Prozessmonitor
Level überprüft, ob der benannte Prozess auf überwachten Geräten läuft. Wenn die von Ihnen gesetzte Bedingung (läuft oder läuft nicht) erkannt und für Ihre Verletzungsdauer beibehalten wird, wird ein Alarm ausgelöst.
Zwei Anwendungsfälle treiben die meisten Konfigurationen an: Beobachtung eines erforderlichen Prozesses, der immer ausgeführt werden sollte (Antivirus, Sicherungs-Agent, Branchenanwendung), und Beobachtung eines Prozesses, der nicht ausgeführt werden sollte (nicht autorisierte Software, bekannte Malware-Prozessnamen).
Konfigurieren des Prozessmonitors
Öffnen Sie die Zielmonitor-Richtlinie und fügen Sie dann einen Prozessmonitor hinzu oder bearbeiten Sie ihn. Das Bedienfeld Monitor bearbeiten öffnet sich auf der rechten Seite.
Name und Typ
Geben Sie einen Namen in das Feld Name ein. Die Aufnahme des Prozessnamens hilft — „CrowdStrike-Agent läuft nicht" ist in einer Alarmliste nützlicher als „Prozessmonitor".
Stellen Sie Typ auf Prozess ein.
Schweregrad
Stellen Sie Schweregrad basierend auf der Kritikalität der Prozessbedingung ein:
Information
Warnung
Kritisch
Notfall
Betriebssystem
Wählen Sie das BS aus, auf dem der Zielprozess ausgeführt wird: Windows, macOS oder Linux. Prozessnamen unterscheiden sich zwischen Plattformen — eine Windows-Exe entspricht keinem Linux-Prozessnamen, daher wird der Monitor korrekt ausgerichtet.
Prozessname
Geben Sie den genauen Prozessnamen im Feld Prozessname ein. Der Name muss genau übereinstimmen — Level verwendet eine exakte Zeichenfolgenübereinstimmung, keine Teil- oder Platzhaltersuche.
⚠️ WARNUNG: Der Prozessname muss genau sein. Unter Windows die Erweiterung .exe einschließen, falls so in Task Manager angezeigt (z. B. notepad.exe). Unter Linux und macOS den Prozessnamen verwenden, wie er in Ihrer Prozessliste angezeigt wird — ohne Erweiterung.
💡 TIPP: Unsicher über den genauen Prozessnamen? Öffnen Sie das Gerät in Level, gehen Sie zu Verwalten → Prozesse, und finden Sie den Prozess in der Liste. Der in der Spalte Prozessname angezeigte Name ist, was hier eingegeben werden sollte.
Auslöser
Auslöser setzt die Bedingung, die den Alarm auslöst:
Läuft nicht — Warnung, wenn der Prozess auf dem Gerät nicht gefunden wird
Läuft — Warnung, wenn der Prozess auf dem Gerät erkannt wird
Verletzungsdauer
Verletzungsdauer setzt, wie lange die Bedingung beibehalten werden muss, bevor Level einen Alarm erstellt. Passen Sie mit dem Schieberegler oder den Pfeilen nach oben/unten an. Der Bereich ist 0–120 Minuten.
💡 TIPP: Eine kurze Verletzungsdauer (1–2 Minuten) funktioniert gut bei „Läuft nicht"-Monitoren für kritische Prozesse — Sie möchten schnell erfahren, wenn ein Antivirus-Agent verschwindet.
Automatische Auflösung
Alarm automatisch auflösen, falls nicht mehr zutreffend ist standardmäßig für Prozessmonitore deaktiviert. Aktivieren Sie, wenn Sie möchten, dass Alarme automatisch geschlossen werden, wenn die Bedingung klar wird (z. B. der fehlende Prozess kommt wieder online). Lassen Sie deaktiviert, wenn der Alarm für manuelle Überprüfung unabhängig bestehen bleiben soll.
Sanierung
Hängen Sie eine oder mehrere Automatisierungen an, die ausgeführt werden, wenn dieser Monitor auslöst — starten Sie einen gestoppten Prozess neu, beenden Sie einen nicht autorisierten oder benachrichtigen Sie Ihr Team.
Klicken Sie in das Feld Sanierung und wählen Sie eine Automatisierung aus.
Zum Hinzufügen weiterer klicken Sie auf + Weitere Sanierung hinzufügen.
Zum Entfernen klicken Sie auf das × daneben.
ℹ️ HINWEIS: Sanierungen werden ausgeführt, wenn der Alarm erstellt wird, nicht wenn er gelöst wird.
Benachrichtigungen
Benachrichtigungen bei Alarmgenerierung senden — Strategie-Empfänger erhalten eine E-Mail, wenn der Alarm auslöst
Benachrichtigungen bei Alarmauflösung senden — Strategie-Empfänger erhalten eine E-Mail, wenn der Alarm gelöst wird
Beide Schalter sind standardmäßig deaktiviert. Empfänger werden auf der Ebene der Monitorrichtlinie im Abschnitt Empfänger verwaltet.
Speichern des Monitors
Klicken Sie auf Monitor hinzufügen, um einen neuen Monitor zu speichern, oder Monitor aktualisieren, um Änderungen an einem bestehenden zu speichern.
Häufig gestellte Fragen
Wer kann Monitore erstellen und bearbeiten? Techniker mit Zugriff auf die relevante Monitor-Richtlinie. Berechtigungseinstellungen werden in Workspace → Berechtigungen verwaltet.
Warum wird mein Prozessmonitor nicht ausgelöst, obwohl der Prozess nicht läuft? Überprüfen Sie, dass der Prozessname genau wie auf dem Gerät eingegeben wird — einschließlich
.exeunter Windows, falls zutreffend. Bestätigen Sie auch, dass das Gerät durch die Ziel-Tags der Richtlinie abgedeckt wird und dass die Verletzungsdauer abgelaufen ist.Sollte ich den Prozessmonitor oder den Service-Monitor für Windows-Hintergrundaufgaben verwenden? Wenn die Hintergrundaufgabe als Windows-Service läuft, verwenden Sie den Service-Monitor — er ist dafür ausgelegt und hat die zusätzliche Option zum automatischen Neustarten gestoppter Services. Verwenden Sie den Prozessmonitor für Anwendungen, die nicht als Service laufen.
Kann ich denselben Prozess auf verschiedenen Betriebssystemen überwachen? Nicht in einem Monitor — jeder Prozessmonitor ist auf ein BS beschränkt. Erstellen Sie einen separaten Monitor pro BS, wenn Sie plattformübergreifende Abdeckung derselben Anwendung benötigen.
Was passiert mit offenen Prozessalarmen, wenn ich den Monitor lösche? Existierende Alarme bleiben bestehen. Das Löschen eines Monitors schließt nicht die Alarme, die er bereits erstellt hat — lösen Sie diese manuell auf.