Alerter lorsqu'un processus spécifique démarre ou s'arrête sur un appareil. Le moniteur de processus observe un processus nommé par nom exact et se déclenche lorsque la condition que vous avez configurée est remplie — qu'il s'agisse d'un processus critique qui disparaît ou d'un processus non autorisé qui apparaît.
Moniteur de processus
Level vérifie si le processus nommé s'exécute sur les appareils couverts. Lorsque la condition que vous avez définie (en cours d'exécution ou non) est détectée et maintenue pendant votre durée de violation, une alerte se déclenche.
Deux cas d'utilisation pilotent la plupart des configurations : surveiller un processus obligatoire qui devrait toujours s'exécuter (antivirus, agent de sauvegarde, application métier), et surveiller un processus qui ne devrait pas s'exécuter (logiciel non autorisé, noms de processus de malware connus).
Configuration du moniteur de processus
Ouvrez la stratégie de moniteur cible, puis ajoutez ou modifiez un moniteur de processus. Le panneau Modifier le moniteur s'ouvre sur la droite.
Nom et type
Entrez un nom dans le champ Nom. Inclure le nom du processus aide — « Agent CrowdStrike non exécuté » est plus utile dans une liste d'alertes que « Moniteur de processus ».
Définissez Type sur Processus.
Gravité
Définissez Gravité en fonction de la criticité de l'état du processus :
Information
Avertissement
Critique
Urgence
Système d'exploitation
Sélectionnez le SE sur lequel s'exécute le processus cible : Windows, macOS ou Linux. Les noms de processus varient selon la plateforme — un exécutable Windows ne correspondra pas à un nom de processus Linux, donc cela scope correctement le moniteur.
Nom du processus
Entrez le nom exact du processus dans le champ Nom du processus. Le nom doit correspondre exactement — Level utilise une correspondance de chaîne exacte, pas une recherche partielle ou avec caractères génériques.
⚠️ AVERTISSEMENT : Le nom du processus doit être exact. Sous Windows, incluez l'extension .exe si c'est ainsi que le processus apparaît dans le Gestionnaire des tâches (par exemple, notepad.exe). Sur Linux et macOS, utilisez le nom du processus tel qu'il apparaît dans votre liste de processus — pas d'extension.
💡 CONSEIL : Pas sûr du nom exact du processus ? Ouvrez l'appareil dans Level, allez à Gérer → Processus, et trouvez le processus dans la liste. Le nom affiché dans la colonne Nom du processus est ce qu'il faut entrer ici.
Déclencheur
Déclencheur définit la condition qui déclenche l'alerte :
N'est pas exécuté — alerte lorsque le processus n'est pas trouvé sur l'appareil
Est en cours d'exécution — alerte lorsque le processus est détecté sur l'appareil
Durée de la violation
La durée de la violation définit combien de temps la condition doit être maintenue avant que Level crée une alerte. Ajustez à l'aide du curseur ou des flèches haut/bas. La plage est 0–120 minutes.
💡 CONSEIL : Une courte durée de violation (1–2 minutes) fonctionne bien pour les moniteurs « N'est pas exécuté » sur les processus critiques — vous voulez savoir rapidement si un agent antivirus disparaît.
Résolution automatique
La résolution automatique de l'alerte si elle n'est plus applicable est désactivée par défaut pour les moniteurs de processus. Activez-la si vous souhaitez que les alertes se ferment automatiquement lorsque la condition s'efface (par exemple, le processus manquant revient en ligne). Laissez-la désactivée si vous souhaitez que l'alerte persiste pour un examen manuel quelle que soit la situation.
Correction
Attachez une ou plusieurs automations à exécuter lorsque ce moniteur se déclenche — redémarrez un processus arrêté, arrêtez un non autorisé, ou notifiez votre équipe.
Cliquez dans le champ Correction et sélectionnez une automation.
Pour en ajouter plus, cliquez sur + Ajouter une autre correction.
Pour en retirer une, cliquez sur le × à côté.
ℹ️ REMARQUE : Les corrections s'exécutent lorsque l'alerte est créée, pas lorsqu'elle se résout.
Notifications
Envoyer des notifications à la création de l'alerte — les destinataires de la stratégie reçoivent un e-mail lorsque l'alerte se déclenche
Envoyer des notifications à la résolution de l'alerte — les destinataires de la stratégie reçoivent un e-mail lorsque l'alerte se résout
Les deux bascules sont désactivées par défaut. Les destinataires sont gérés au niveau de la stratégie de moniteur, dans la section Destinataires.
Enregistrement du moniteur
Cliquez sur Ajouter un moniteur pour enregistrer un nouveau moniteur, ou Mettre à jour le moniteur pour enregistrer les modifications apportées à un moniteur existant.
FAQ
Qui peut créer et modifier des moniteurs ? Les techniciens ayant accès à la stratégie de moniteur pertinente. Les paramètres d'autorisation sont gérés dans Espace de travail → Autorisations.
Pourquoi mon moniteur de processus ne se déclenche-t-il pas alors que le processus n'est pas exécuté ? Vérifiez que le nom du processus est entré exactement comme il apparaît sur l'appareil — y compris
.exesur Windows si applicable. Confirmez également que l'appareil est couvert par les balises cibles de la stratégie et que la durée de la violation a écoulé.Dois-je utiliser le moniteur de processus ou le moniteur de service pour les tâches en arrière-plan Windows ? Si la tâche en arrière-plan s'exécute en tant que service Windows, utilisez le moniteur de service — il est conçu pour cela et a l'option supplémentaire de redémarrer automatiquement les services arrêtés. Utilisez le moniteur de processus pour les applications qui ne s'exécutent pas en tant que service.
Puis-je surveiller le même processus sur différents systèmes d'exploitation ? Pas dans un seul moniteur — chaque moniteur de processus est limité à un SE. Créez un moniteur séparé par SE si vous avez besoin d'une couverture multiplateforme de la même application.
Que se passe-t-il pour les alertes de processus ouvert si je supprime le moniteur ? Les alertes existantes restent en place. Supprimer un moniteur ne ferme pas les alertes qu'il a déjà créées — résolvez-les manuellement.