Introduction
Alerter quand un processus spécifique démarre ou s'arrête sur un appareil. Le moniteur de processus surveille un processus nommé par nom exact et se déclenche quand la condition que vous avez configurée est remplie — qu'il s'agisse d'un processus critique manquant ou d'un processus non autorisé apparaissant.
Moniteur de processus
Level vérifie si le processus nommé est en cours d'exécution sur les appareils couverts. Quand la condition que vous avez définie (en cours d'exécution ou non) est détectée et maintenue pendant votre durée de violation, une alerte se déclenche.
Deux cas d'usage pilotent la plupart des configurations : surveiller un processus requis qui doit toujours s'exécuter (antivirus, agent de sauvegarde, application métier), et surveiller un processus qui ne doit pas s'exécuter (logiciel non autorisé, noms de processus de malware connus).
Configuration du moniteur de processus
Ouvrez la stratégie de moniteur cible, puis ajoutez ou modifiez un moniteur de processus. Le Modifier le moniteur le panneau s'ouvre sur la droite.
Nom et type
Entrez un nom dans leNom domaine. Inclure le nom du processus aide — « Agent CrowdStrike non en cours d'exécution » est plus utile dans une liste d'alertes que « Moniteur de processus ».
Set Type to Process .
Gravité
Set Gravitébasé sur la criticité de l'état du processus :
Information
Avertissement
Critique
Urgence
Système d'exploitation
Sélectionnez le système d'exploitation sur lequel s'exécute le processus cible : Windows, macOS, or Linux . Les noms de processus varient selon la plateforme — un exécutable Windows ne correspondra pas à un nom de processus Linux, donc cela définit correctement l'étendue du moniteur.
Process Name
Entrez le nom exact du processus dans le Process name domaine. Le nom doit correspondre précisément — Level utilise une correspondance de chaîne exacte, pas une recherche partielle ou générique.
⚠️ AVERTISSEMENT : Le nom du processus doit être exact. Sous Windows, incluez le.exeextension si c'est ainsi que le processus apparaît dans le Gestionnaire des tâches (par exemple, notepad.exe). Sous Linux et macOS, utilisez le nom du processus tel qu'il apparaît dans votre liste de processus — pas d'extension.
💡 CONSEIL :Pas sûr du nom exact du processus ? Ouvrez l'appareil dans Level, allez à Gérer → Processus , et trouvez le processus dans la liste. Le nom affiché dans leProcess Namela colonne est ce qu'il faut entrer ici.
Déclencheur
Déclencheur définit la condition qui déclenche l'alerte :
Is not running — alerte quand le processus n'est pas trouvé sur l'appareil
Est en cours d'exécution — alerte quand le processus est détecté sur l'appareil
Durée de la violation
Durée de la violation définit la durée pendant laquelle la condition doit être maintenue avant que Level ne crée une alerte. Réglez à l'aide du curseur ou des flèches haut/bas. La plage est 0–120 minutes.
💡 CONSEIL :Une durée de violation courte (1–2 minutes) fonctionne bien pour les moniteurs « N'est pas en cours d'exécution » sur les processus critiques — vous voulez savoir rapidement si un agent antivirus disparaît.
Résolution automatique
Résoudre automatiquement l'alerte si elle n'est plus applicableest désactivé par défaut pour les moniteurs de processus. Activez-le si vous voulez que les alertes se ferment automatiquement quand la condition s'éclaircit (par exemple, le processus manquant revient en ligne). Laissez-le désactivé si vous voulez que l'alerte persiste pour examen manuel indépendamment.
Correction
Attachez une ou plusieurs automations pour s'exécuter quand ce moniteur se déclenche — redémarrer un processus arrêté, arrêter un processus non autorisé, ou notifier votre équipe.
Click in the Correction domaine et sélectionnez une automation.
Pour en ajouter plus, cliquez+ Ajouter une autre correction .
Pour en supprimer un, cliquez sur le× next to it.
ℹ️ REMARQUE :Les remédiations s'exécutent quand l'alerte est créée, pas quand elle se résout.
Notifications
Envoyer des notifications lors de la création d'une alerte — les destinataires de la stratégie reçoivent un e-mail quand l'alerte se déclenche
Envoyer des notifications lors de la résolution de l'alerte — les destinataires de la stratégie reçoivent un e-mail quand l'alerte se résout
Les deux bascules sont désactivés par défaut. Les destinataires sont gérés au niveau de la stratégie de moniteur, dans le Destinataires section.
Enregistrement du moniteur
Click Ajouter un moniteur pour enregistrer un nouveau moniteur, ouMettre à jour le moniteurpour enregistrer les modifications apportées à un existant.
FAQ
Qui peut créer et modifier les moniteurs ?Techniciens ayant accès à la stratégie de moniteur pertinente. Les paramètres d'autorisation sont gérés dansEspace de travail → Autorisations .
Pourquoi mon moniteur de processus ne se déclenche-t-il pas même si le processus ne s'exécute pas ?Vérifiez que le nom du processus est entré exactement tel qu'il apparaît sur l'appareil — y compris
.exesous Windows le cas échéant. Confirmez également que l'appareil est couvert par les balises cibles de la stratégie et que la durée de violation s'est écoulée.Dois-je utiliser le moniteur de processus ou le moniteur de service pour les tâches en arrière-plan Windows ? Si la tâche en arrière-plan s'exécute en tant que service Windows, utilisez le moniteur de service — il est conçu pour cela et a l'option supplémentaire de redémarrer automatiquement les services arrêtés. Utilisez le moniteur de processus pour les applications qui ne s'exécutent pas en tant que service.
Puis-je surveiller le même processus sur différents systèmes d'exploitation ? Pas dans un seul moniteur — chaque moniteur de processus est limité à un seul système d'exploitation. Créez un moniteur séparé par système d'exploitation si vous avez besoin d'une couverture multiplateforme du même application.
Que se passe-t-il pour les alertes de processus ouvertes si je supprime le moniteur ? Les alertes existantes restent en place. La suppression d'un moniteur ne ferme pas les alertes qu'il a déjà créées — résolvez-les manuellement.