Passer au contenu principal

Moniteur de processus

Alert when a specific process starts running or stops running on a device.

Introduction

Déclenche une alerte lorsqu'un processus spécifique démarre ou s'arrête sur un appareil. Le moniteur de processus surveille un processus désigné par son nom exact et se déclenche lorsque la condition que vous avez configurée est remplie — qu'il s'agisse d'un processus critique qui disparaît ou d'un processus non autorisé qui apparaît.

Moniteur de processus

Level vérifie si le processus désigné est en cours d'exécution sur les appareils couverts. Lorsque la condition définie (en cours d'exécution ou non) est détectée et maintenue pendant la durée de dépassement configurée, une alerte se déclenche.

Deux cas d'utilisation représentent la majorité des configurations : surveiller un processus requis qui doit toujours être en cours d'exécution (antivirus, agent de sauvegarde, application métier), et surveiller un processus qui ne devrait pas être en cours d'exécution (logiciel non autorisé, noms de processus malveillants connus).

Configuration du moniteur de processus

Ouvrez la politique de moniteur cible, puis ajoutez ou modifiez un moniteur de processus. Le Modifier le moniteur le panneau s'ouvre sur la droite.

Nom et type

  1. Saisissez un nom dans le Nom champ. Inclure le nom du processus est utile — «Agent CrowdStrike non exécuté» est plus parlant dans une liste d'alertes que «Moniteur de processus».

  2. Définissez Type sur Processus.

Process Monitor

Gravité

Définissez la Gravité en fonction du niveau de criticité de la condition du processus :

  • Information

  • Avertissement

  • Critique

  • Urgence

Système d'exploitation

Sélectionnez le système d'exploitation sur lequel s'exécute le processus cible : Windows, macOS, ou Linux. Les noms de processus varient selon la plateforme — un exécutable Windows ne correspondra pas à un nom de processus Linux, ce qui permet de cibler correctement le moniteur.

Operating System Selection

Nom du processus

Saisissez le nom exact du processus dans le Nom du processus champ. Le nom doit correspondre exactement — Level utilise une correspondance de chaîne exacte, pas une recherche partielle ou avec caractères génériques.

Process Name

⚠️ AVERTISSEMENT : Le nom du processus doit être exact. Sur Windows, incluez l' .exe extension si c'est ainsi que le processus apparaît dans le Gestionnaire des tâches (par ex., notepad.exe). Sur Linux et macOS, utilisez le nom du processus tel qu'il apparaît dans votre liste de processus — sans extension.

💡 CONSEIL : Vous n'êtes pas sûr du nom exact du processus ? Ouvrez l'appareil dans Level, rendez-vous dans Gérer → Processus, et recherchez le processus dans la liste. Le nom affiché dans la Nom du processus colonne correspond à ce qu'il faut saisir ici.

Process Name Column

Déclencheur

Déclencheur définit la condition qui déclenche l'alerte :

  • N'est pas en cours d'exécution — alerte lorsque le processus n'est pas trouvé sur l'appareil

  • Est en cours d'exécution — alerte lorsque le processus est détecté sur l'appareil

Trigger

Durée de dépassement

Durée de dépassement définit la durée pendant laquelle la condition doit être maintenue avant que Level ne crée une alerte. Ajustez à l'aide du curseur ou des flèches haut/bas. La plage est de 0 à 120 minutes.

Breach duration

💡 CONSEIL : Une courte durée de dépassement (1 à 2 minutes) convient bien aux moniteurs «N'est pas en cours d'exécution» pour les processus critiques — vous voulez être informé rapidement si un agent antivirus disparaît.

Résolution automatique

Résoudre automatiquement l'alerte si elle n'est plus applicable est désactivée par défaut pour les moniteurs de processus. Activez-la si vous souhaitez que les alertes se ferment automatiquement lorsque la condition est levée (par ex., le processus manquant revient en ligne). Laissez-la désactivée si vous souhaitez que l'alerte persiste pour une révision manuelle quoi qu'il arrive.

Remédiation

Associez une ou plusieurs automatisations à exécuter lorsque ce moniteur se déclenche — redémarrez un processus arrêté, arrêtez-en un non autorisé, ou notifiez votre équipe.

  1. Cliquez dans le Remédiation champ et sélectionnez une automatisation.

  2. Pour en ajouter d'autres, cliquez sur + Ajouter une autre remédiation.

  3. Pour en supprimer une, cliquez sur × à côté.

ℹ️ REMARQUE : Les remédiations s'exécutent lors de la création de l'alerte, et non lors de sa résolution.

Notifications

  • Envoyer des notifications lors de la création de l'alerte — les destinataires de la politique reçoivent un e-mail lorsque l'alerte se déclenche

  • Envoyer des notifications lors de la résolution de l'alerte — les destinataires de la politique reçoivent un e-mail lorsque l'alerte est résolue

Les deux bascules sont désactivées par défaut. Les destinataires sont gérés au niveau de la politique de moniteur, dans la Destinataires section.

Notifications

Enregistrement du moniteur

Cliquez sur Ajouter le moniteur pour enregistrer un nouveau moniteur, ou Mettre à jour le moniteur pour enregistrer les modifications apportées à un moniteur existant.

FAQ

  • Qui peut créer et modifier des moniteurs ? Les techniciens ayant accès à la politique de moniteur concernée. Les paramètres de permissions sont gérés dans Espace de travail → Permissions.

  • Pourquoi mon moniteur de processus ne se déclenche-t-il pas alors que le processus n'est pas en cours d'exécution ? Vérifiez que le nom du processus est saisi exactement tel qu'il apparaît sur l'appareil — y compris l' .exe sur Windows le cas échéant. Vérifiez également que l'appareil est couvert par les étiquettes cibles de la politique et que la durée de dépassement s'est écoulée.

  • Dois-je utiliser le moniteur de processus ou le moniteur de service pour les tâches d'arrière-plan Windows ? Si la tâche d'arrière-plan s'exécute en tant que service Windows, utilisez le moniteur de service — il est conçu pour cela et offre en plus la possibilité de redémarrer automatiquement les services arrêtés. Utilisez le moniteur de processus pour les applications qui ne s'exécutent pas en tant que service.

  • Puis-je surveiller le même processus sur différents systèmes d'exploitation ? Non, pas dans un seul moniteur — chaque moniteur de processus est limité à un seul système d'exploitation. Créez un moniteur distinct par système d'exploitation si vous avez besoin d'une couverture multiplateforme pour la même application.

  • Que se passe-t-il avec les alertes de processus ouvertes si je supprime le moniteur ? Les alertes existantes restent en place. La suppression d'un moniteur ne ferme pas les alertes qu'il a déjà créées — résolvez-les manuellement.

Articles connexes
Premiers pas avec les moniteurs
Moniteur du journal d'événements
Moniteur Exécution de Script
Moniteur d'utilisation du processeur
Moniteur de service
Avez-vous trouvé la réponse à votre question ?