Introduction
Warnung, wenn ein bestimmter Prozess auf einem Gerät startet oder stoppt. Der Prozessmonitor überwacht einen benannten Prozess nach exaktem Namen und wird ausgelöst, wenn die konfigurierte Bedingung erfüllt ist — ob ein kritischer Prozess fehlt oder ein nicht autorisierter Prozess erscheint.
Prozess-Monitor
Level überprüft, ob der benannte Prozess auf abgedeckten Geräten ausgeführt wird. Wenn die von Ihnen festgelegte Bedingung (ausgeführt oder nicht ausgeführt) erkannt und für Ihre Verletzungsdauer aufrechterhalten wird, wird eine Warnung ausgelöst.
Zwei Anwendungsfälle treiben die meisten Konfigurationen an: Überwachung eines erforderlichen Prozesses, der immer ausgeführt werden sollte (Antivirus, Backup-Agent, Geschäftsanwendung), und Überwachung eines Prozesses, der nicht ausgeführt werden sollte (nicht autorisierte Software, bekannte Malware-Prozessnamen).
Prozessmonitor konfigurieren
Öffnen Sie die Zielmonitor-Richtlinie und fügen Sie dann einen Prozessmonitor hinzu oder bearbeiten ihn. DasMonitor bearbeitenFenster wird auf der rechten Seite geöffnet.
Name und Typ
Geben Sie einen Namen in dasNameFeld ein. Das Einbeziehen des Prozessnamens hilft — "CrowdStrike Agent wird nicht ausgeführt" ist in einer Warnliste nützlicher als "Prozessmonitor".
Set Typ to Process.
Schweregrad
Set Schweregradbasierend auf der Kritikalität der Prozessbedingung:
Information
Warnung
Kritisch
Notfall
Operating System
Wählen Sie das Betriebssystem aus, auf dem der Zielprozess ausgeführt wird:Windows, macOS, or Linux. Prozessnamen variieren je nach Plattform — eine Windows-Exe passt nicht zu einem Linux-Prozessnamen, also wird der Monitor korrekt begrenzt.
Process Name
Geben Sie den genauen Prozessnamen in dasProcess nameFeld ein. Der Name muss genau übereinstimmen — Level verwendet eine exakte Zeichenfolgenübereinstimmung, keine Teilübereinstimmung oder Wildcard-Suche.
⚠️ WARNING:Der Prozessname muss genau sein. Unter Windows, fügen Sie das.exeein, wenn so der Prozess im Task-Manager angezeigt wird (z. B.notepad.exe). Unter Linux und macOS verwenden Sie den Prozessnamen, wie er in Ihrer Prozessliste angezeigt wird — keine Erweiterung.
💡 TIP:Nicht sicher über den genauen Prozessnamen? Öffnen Sie das Gerät in Level, gehen Sie zuVerwalten → Prozesse, und suchen Sie den Prozess in der Liste. Der Name, der in der angezeigt wirdProcess NameSpalte ist das, was Sie hier eingeben sollten.
Trigger
TriggerLegt die Bedingung fest, die die Warnung auslöst:
Is not running— Warnung, wenn der Prozess auf dem Gerät nicht gefunden wird
Is running— Warnung, wenn der Prozess auf dem Gerät erkannt wird
Breach Duration
Breach durationLegt fest, wie lange die Bedingung aufrechterhalten werden muss, bevor Level eine Warnung erstellt. Passen Sie den Schieberegler oder die Auf-/Ab-Pfeile an. Der Bereich liegt zwischen 0 und 120 Minuten.
💡 TIP:Eine kurze Verletzungsdauer (1–2 Minuten) funktioniert gut für "Wird nicht ausgeführt"-Monitore auf kritischen Prozessen — Sie möchten schnell wissen, wenn ein Antivirus-Agent verschwindet.
Automatisch auflösen
Auto-resolve alert if it is no longer applicableist für Prozessmonitore standardmäßig deaktiviert. Aktivieren Sie es, wenn Warnungen automatisch geschlossen werden sollen, wenn sich die Bedingung klärt (z. B. wenn der fehlende Prozess wieder online geht). Lassen Sie es deaktiviert, wenn die Warnung zur manuellen Überprüfung unabhängig davon bestehen bleiben soll.
Abhilfe
Fügen Sie eine oder mehrere Automatisierungen an, die ausgeführt werden sollen, wenn dieser Monitor ausgelöst wird — starten Sie einen gestoppten Prozess neu, beenden Sie einen nicht autorisierten oder benachrichtigen Sie Ihr Team.
Click in the AbhilfeFeld und wählen Sie eine Automatisierung.
Um mehr hinzuzufügen, klicken Sie+ Add another remediation.
Um einen zu entfernen, klicken Sie auf das× next to it.
ℹ️ NOTE:Remediationen werden ausgeführt, wenn die Warnung erstellt wird, nicht wenn sie behoben wird.
Benachrichtigungen
Send notifications on alert creation— Richtlinienempfänger erhalten eine E-Mail, wenn die Warnung ausgelöst wird
Send notifications on alert resolution— Richtlinienempfänger erhalten eine E-Mail, wenn die Warnung behoben wird
Beide Schalter sind standardmäßig deaktiviert. Empfänger werden auf Monitor-Richtlinienebene verwaltet, in derEmpfänger section.
Saving the Monitor
Click Add monitorum einen neuen Monitor zu speichern, oderUpdate monitorum Änderungen an einem vorhandenen zu speichern.
FAQ
Who can create and edit monitors?Techniker mit Zugriff auf die relevante Monitor-Richtlinie. Berechtigungseinstellungen werden unterWorkspace → Permissions.
Warum wird mein Prozessmonitor nicht ausgelöst, obwohl der Prozess nicht ausgeführt wird?Überprüfen Sie, dass der Prozessname genau so eingegeben ist, wie er auf dem Gerät angezeigt wird — einschließlich
.exeunter Windows falls zutreffend. Bestätigen Sie auch, dass das Gerät durch die Ziel-Tags der Richtlinie abgedeckt ist und die Verletzungsdauer verstrichen ist.Sollte ich den Prozessmonitor oder den Service-Monitor für Windows-Hintergrundaufgaben verwenden?Wenn die Hintergrundaufgabe als Windows-Dienst ausgeführt wird, verwenden Sie den Service-Monitor — er ist dafür ausgelegt und bietet die zusätzliche Option, gestoppte Dienste automatisch neu zu starten. Verwenden Sie den Prozessmonitor für Anwendungen, die nicht als Dienst ausgeführt werden.
Kann ich den gleichen Prozess über verschiedene Betriebssysteme hinweg überwachen?Nicht in einem einzelnen Monitor — jeder Prozessmonitor ist auf ein Betriebssystem begrenzt. Erstellen Sie einen separaten Monitor pro Betriebssystem, wenn Sie plattformübergreifende Abdeckung der gleichen Anwendung benötigen.
Was passiert mit offenen Prozesswarnungen, wenn ich den Monitor lösche?Vorhandene Warnungen bleiben bestehen. Das Löschen eines Monitors schließt nicht die bereits erstellten Warnungen — beheben Sie diese manuell.