Einführung
Benachrichtigung, wenn ein bestimmter Prozess auf einem Gerät startet oder stoppt. Der Prozess-Monitor überwacht einen benannten Prozess anhand seines genauen Namens und löst aus, wenn die konfigurierte Bedingung erfüllt ist – sei es, dass ein kritischer Prozess fehlt oder ein nicht autorisierter Prozess erscheint.
Prozess-Monitor
Level prüft, ob der benannte Prozess auf den überwachten Geräten ausgeführt wird. Wenn die festgelegte Bedingung (läuft oder läuft nicht) erkannt und für die eingestellte Verstoßdauer aufrechterhalten wird, wird eine Benachrichtigung ausgelöst.
Zwei Anwendungsfälle bestimmen die meisten Konfigurationen: die Überwachung eines erforderlichen Prozesses, der immer ausgeführt werden sollte (Antivirenprogramm, Backup-Agent, Branchenanwendung), und die Überwachung eines Prozesses, der nicht ausgeführt werden sollte (nicht autorisierte Software, bekannte Schadsoftware-Prozessnamen).
Prozess-Monitor konfigurieren
Öffnen Sie die Ziel-Monitor-Richtlinie und fügen Sie dann einen Prozess-Monitor hinzu oder bearbeiten Sie ihn. Der Monitor bearbeiten Bereich wird auf der rechten Seite geöffnet.
Name und Typ
Geben Sie einen Namen in das Name Feld. Es empfiehlt sich, den Prozessnamen einzubeziehen – „CrowdStrike Agent nicht aktiv" ist in einer Benachrichtigungsliste aussagekräftiger als „Prozess-Monitor".
Setzen Sie Typ auf Prozess.
Schweregrad
Setzen Sie den Schweregrad entsprechend der Kritikalität der Prozessbedingung:
Information
Warnung
Kritisch
Notfall
Betriebssystem
Wählen Sie das Betriebssystem aus, auf dem der Zielprozess ausgeführt wird: Windows, macOS, oder Linux. Prozessnamen variieren je nach Plattform – eine ausführbare Windows-Datei stimmt nicht mit einem Linux-Prozessnamen überein. Diese Einstellung begrenzt den Monitor entsprechend.
Prozessname
Geben Sie den genauen Prozessnamen in das Prozessname Feld. Der Name muss exakt übereinstimmen – Level verwendet eine exakte Zeichenkettensuche, keine Teil- oder Platzhaltersuche.
⚠️ WARNUNG: Der Prozessname muss exakt sein. Unter Windows geben Sie die .exe Erweiterung, wenn der Prozess im Task-Manager so angezeigt wird (z. B. notepad.exe). Unter Linux und macOS verwenden Sie den Prozessnamen so, wie er in Ihrer Prozessliste erscheint – ohne Erweiterung.
💡 TIPP: Sie kennen den genauen Prozessnamen nicht? Öffnen Sie das Gerät in Level, navigieren Sie zu Verwalten → Prozesse, und suchen Sie den Prozess in der Liste. Der in der Prozessname Spalte ist der gesuchte Wert.
Auslöser
Auslöser legt die Bedingung fest, die die Benachrichtigung auslöst:
Wird nicht ausgeführt – Benachrichtigung, wenn der Prozess auf dem Gerät nicht gefunden wird
Wird ausgeführt – Benachrichtigung, wenn der Prozess auf dem Gerät erkannt wird
Verstoßdauer
Verstoßdauer legt fest, wie lange die Bedingung aufrechterhalten werden muss, bevor Level eine Benachrichtigung erstellt. Passen Sie den Wert mit dem Schieberegler oder den Pfeiltasten an. Der Bereich liegt zwischen 0 und 120 Minuten.
💡 TIPP: Eine kurze Verstoßdauer (1–2 Minuten) eignet sich gut für „Wird nicht ausgeführt"-Monitore bei kritischen Prozessen – Sie möchten schnell informiert werden, wenn ein Antivirenprogramm nicht mehr aktiv ist.
Automatische Auflösung
Benachrichtigung automatisch auflösen, wenn sie nicht mehr zutrifft ist für Prozess-Monitore standardmäßig deaktiviert. Aktivieren Sie diese Option, wenn Benachrichtigungen automatisch geschlossen werden sollen, sobald die Bedingung nicht mehr zutrifft (z. B. wenn der fehlende Prozess wieder verfügbar ist). Lassen Sie die Option deaktiviert, wenn die Benachrichtigung für eine manuelle Überprüfung bestehen bleiben soll.
Behebung
Fügen Sie eine oder mehrere Automatisierungen hinzu, die ausgeführt werden sollen, wenn dieser Monitor auslöst – starten Sie einen gestoppten Prozess neu, beenden Sie einen nicht autorisierten oder benachrichtigen Sie Ihr Team.
Klicken Sie in das Behebung Feld und wählen Sie eine Automatisierung aus.
Um weitere hinzuzufügen, klicken Sie auf + Weitere Behebung hinzufügen.
Um eine zu entfernen, klicken Sie auf das × daneben.
ℹ️ HINWEIS: Behebungen werden ausgeführt, wenn die Benachrichtigung erstellt wird, nicht wenn sie aufgelöst wird.
Benachrichtigungen
Benachrichtigungen bei Erstellung einer Warnung senden – Richtlinienempfänger erhalten eine E-Mail, wenn die Benachrichtigung ausgelöst wird
Benachrichtigungen bei Auflösung einer Warnung senden – Richtlinienempfänger erhalten eine E-Mail, wenn die Benachrichtigung aufgelöst wird
Beide Schalter sind standardmäßig deaktiviert. Empfänger werden auf Ebene der Monitor-Richtlinie im Empfänger Abschnitt.
Monitor speichern
Klicken Sie auf Monitor hinzufügen um einen neuen Monitor zu speichern, oder Monitor aktualisieren um Änderungen an einem vorhandenen Monitor zu speichern.
Häufig gestellte Fragen
Wer kann Monitore erstellen und bearbeiten? Techniker mit Zugriff auf die entsprechende Monitor-Richtlinie. Berechtigungseinstellungen werden unter Arbeitsbereich → Berechtigungen.
Warum löst mein Prozess-Monitor nicht aus, obwohl der Prozess nicht ausgeführt wird? Überprüfen Sie, ob der Prozessname genau so eingegeben wurde, wie er auf dem Gerät erscheint – einschließlich
.exeunter Windows, falls zutreffend. Überprüfen Sie außerdem, ob das Gerät von den Ziel-Tags der Richtlinie abgedeckt wird und ob die Verstoßdauer abgelaufen ist.Sollte ich für Windows-Hintergrundaufgaben den Prozess-Monitor oder den Dienst-Monitor verwenden? Wenn die Hintergrundaufgabe als Windows-Dienst ausgeführt wird, verwenden Sie den Dienst-Monitor – er ist dafür ausgelegt und bietet zusätzlich die Option, gestoppte Dienste automatisch neu zu starten. Verwenden Sie den Prozess-Monitor für Anwendungen, die nicht als Dienst ausgeführt werden.
Kann ich denselben Prozess auf verschiedenen Betriebssystemen überwachen? Nicht mit einem einzigen Monitor – jeder Prozess-Monitor ist auf ein Betriebssystem beschränkt. Erstellen Sie für jedes Betriebssystem einen separaten Monitor, wenn Sie plattformübergreifende Überwachung derselben Anwendung benötigen.
Was passiert mit offenen Prozess-Benachrichtigungen, wenn ich den Monitor lösche? Bestehende Benachrichtigungen bleiben erhalten. Das Löschen eines Monitors schließt keine bereits erstellten Benachrichtigungen – lösen Sie diese manuell auf.