📊 DiMS – Diagnose, Monitoring & Security
Das integrierte Monitoring- und Security-Modul des ISoné Agents. Ersetzt für typische MSP/KMU-Szenarien schätzungsweise 80% von Zabbix und 70% von Wazuh – ohne zusätzliche Server, ohne zusätzliche Lizenzen, direkt im Agent integriert.
Die 5 DiMS-Tabs
Jeder Tab für einen spezifischen Anwendungsbereich
Monitoring
System-Metriken aller Agents
Security
Events & Findings
SIEM
Korrelation & Cases
Compliance
PCI-DSS, HIPAA, DSGVO
Extended
SNMP, JMX, IPMI
📈 Monitoring Tab
Echtzeit-Metriken aller Agents mit 24h-Verlauf
┌─────────────────────────────────────────────────────────────────────────────┐
│ 📊 DiMS Dashboard [−] [□] [×] [↗] │
├─────────────────────────────────────────────────────────────────────────────┤
│ [Monitoring] [Security] [SIEM] [Compliance] [Extended] │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ 📈 Übersicht 🔄 Auto-Refresh: [60s ▼] │
│ ───────────────────────────────────────────────────────────────────────── │
│ │ Agents: 47 │ CPU Ø: 23% │ RAM Ø: 67% │ Disk Ø: 45% │ Alerts: 3 │ │
│ ───────────────────────────────────────────────────────────────────────── │
│ │
│ Agent-Liste Filter: [Alle ▼] [🔍] │
│ ┌─────────────────────────────────────────────────────────────────────────┐│
│ │ Host │ CPU │ RAM │ Disk │ Network │ Status │ Zuletzt ││
│ ├─────────────────────────────────────────────────────────────────────────┤│
│ │ webserver-prod-01 │ 45% │ 78% │ 62% │ 125 Mb/s │ 🟢 OK │ vor 30s ││
│ │ db-server-01 │ 12% │ 89% │ 34% │ 45 Mb/s │ 🟡 Warn │ vor 45s ││
│ │ mail-server-01 │ 8% │ 45% │ 78% │ 12 Mb/s │ 🟢 OK │ vor 1m ││
│ │ backup-server-01 │ 3% │ 23% │ 91% │ 2 Mb/s │ 🔴 Crit │ vor 2m ││
│ └─────────────────────────────────────────────────────────────────────────┘│
│ │
│ Agent-Details: webserver-prod-01 │
│ ┌────────────────────────────────────────────────────────────────────────┐ │
│ │ CPU History (24h) RAM History (24h) │ │
│ │ ▁▂▃▄▅▆▇▆▅▄▃▂▁▂▃▄▅▆▇█▇▆▅▄▃ ███████████▇▇▇▆▆▅▅▄▄▃▃▂▂▁▁ │ │
│ └────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
Verfügbare Metriken
| Kategorie | Metriken |
|---|---|
| CPU | Auslastung (%), Load Average, Core-Anzahl, Prozesse |
| Memory | RAM-Nutzung (%), Swap-Nutzung, Verfügbar, Cached |
| Disk | Speicherplatz (%), Inodes, I/O-Rate, SMART-Status |
| Network | Interface-Stats, Bandbreite, Verbindungen, Fehler |
| Process | Prozessanzahl, Top 5 CPU/RAM, Zombies |
| Hardware | Temperatur, Lüfterdrehzahl, Spannung (wo verfügbar) |
📊 Sparklines
24-Stunden-Verlauf als kompakte Sparkline-Grafik für schnelle Trendanalyse.
Filter-Optionen:
- Nach Status (OK, Warning, Critical)
- Nach Hostname/Name
- Nach Tag/Gruppe
- Nach Metrik-Schwellwert
🛡️ Security Tab
Security-Events und Findings mit 6 spezialisierten Scannern
┌─────────────────────────────────────────────────────────────────────────────┐
│ [Monitoring] [Security] [SIEM] [Compliance] [Extended] │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ 🛡️ Security Übersicht │
│ ───────────────────────────────────────────────────────────────────────── │
│ │ 🔴 Critical: 2 │ 🟠 High: 5 │ 🟡 Medium: 12 │ 🔵 Low: 34 │ ℹ Info: 89 │ │
│ ───────────────────────────────────────────────────────────────────────── │
│ │
│ Filter: [Alle Severity ▼] [Alle Agents ▼] [Alle Kategorien ▼] │
│ │
│ Events │
│ ┌─────────────────────────────────────────────────────────────────────────┐│
│ │ Zeit │ Agent │ Severity │ Kategorie │ Beschreibung ││
│ ├─────────────────────────────────────────────────────────────────────────┤│
│ │ 14:23:01 │ webserver-01 │ 🔴 Crit │ FIM │ /etc/passwd ││
│ │ 14:21:45 │ db-server-01 │ 🟠 High │ Auth │ Brute-Force ││
│ │ 14:20:12 │ mail-server │ 🟡 Med │ Baseline │ SSH Permit... ││
│ │ 14:18:33 │ webserver-01 │ 🔵 Low │ Audit │ Package upd...││
│ └─────────────────────────────────────────────────────────────────────────┘│
│ │
│ Event-Details: /etc/passwd geändert │
│ ┌────────────────────────────────────────────────────────────────────────┐ │
│ │ Datei: /etc/passwd │ │
│ │ Alte Hash: sha256:a1b2c3d4... → Neue Hash: sha256:e5f6g7h8... │ │
│ │ Zeitpunkt: 2026-01-28 14:23:01 UTC │ │
│ │ [✓ Acknowledge] [✅ Als gelöst markieren] [📋 Ticket erstellen] │ │
│ └────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
FIM – File Integrity Monitor
Überwacht kritische Systemdateien auf Änderungen.
Überwachte Pfade (Linux):
/etc/passwd,/etc/shadow/etc/ssh/sshd_config/etc/sudoers,/etc/sudoers.d/*/etc/crontab,/var/spool/cron/*- Kernel-Module in
/lib/modules/
Auth Monitor
Analysiert Authentifizierungsversuche und erkennt Anomalien.
Erkannte Events:
- Failed Logins (Brute-Force-Erkennung)
- Erfolgreiche Root-/Admin-Sessions
- Sudo-Nutzung und Sudo-Fehler
- SSH-Key-Authentifizierung
- PAM-Events
Security Baseline
Prüft Systemkonfiguration gegen Best-Practice-Standards.
Geprüfte Einstellungen:
- SSH: PermitRootLogin, PasswordAuth
- Firewall: aktiv, Default-Policy
- Passwort-Policy: Komplexität, Ablauf
- Unattended Upgrades: aktiviert
- ASLR, SELinux/AppArmor Status
Rootkit Detection
Erkennt versteckte Prozesse und verdächtige Kernel-Module.
Prüfungen:
- Prozesse vs. /proc-Vergleich
- Versteckte Verzeichnisse (../, . Leerzeichen)
- Unbekannte Kernel-Module
- LD_PRELOAD Hijacking
- Verdächtige Listening-Ports
Vulnerability Scanner
CVE-Abgleich für installierte Pakete.
Features:
- CVE-Datenbank-Abgleich
- Security-Updates ausstehend
- EOL-OS-Erkennung
- Veraltete Kernel-Versionen
- CVSS-Score-Priorisierung
Audit Logger
Protokolliert sicherheitsrelevante Systemänderungen.
Protokollierte Events:
- Paket-Installationen/-Deinstallationen
- Service-Start/Stop/Enable
- Cron-Job-Änderungen
- User/Group-Änderungen
- Firewall-Regeländerungen
🎯 Event-Aktionen
Event als gesehen markieren
Event als gelöst markieren
TANSS-Ticket aus Event generieren
🔍 SIEM Tab
Security Event Correlation mit MITRE ATT&CK Mapping
SIEM-Funktionen
- ECS-normalisierte Events: Alle Security-Events werden in Elastic Common Schema (ECS) normalisiert
- Korrelationsregeln: Vordefinierte Regeln erkennen komplexe Angriffsmuster
- Case Management: Gruppierte Events mit SLA-Tracking und Zuweisung
- Threat Intelligence: Integration mit externen Threat-Feeds (geplant)
MITRE ATT&CK Mapping
Jedes erkannte Event wird automatisch einer MITRE ATT&CK Technik zugeordnet:
🗺️ MITRE ATT&CK Matrix
- Visualisierung der Abdeckung
- Gap-Analyse für fehlende Detektionen
- Navigator Export für externe Tools
- Taktik/Technik-Zuordnung
Default-Korrelationsregeln
| Regel | MITRE Technik | Trigger | Severity |
|---|---|---|---|
| SSH Brute Force | T1110.001 - Brute Force |
>10 Failed Logins/5min | High |
| Sudo Privilege Escalation | T1548.003 - Sudo Abuse |
Unübliche Sudo-Nutzung | Medium |
| New User Account Created | T1136.001 - Local Account |
useradd/adduser ausgeführt | Medium |
| Rootkit Detection | T1014 - Rootkit |
Versteckter Prozess gefunden | Critical |
| Cron Job Modified | T1053.003 - Cron |
/etc/crontab oder cron.d geändert | Medium |
| SSH Key Added | T1098.004 - SSH Key |
Neuer Key in authorized_keys | Medium |
| Kernel Module Loaded | T1547.006 - Kernel Module |
Neues Modul geladen | High |
📋 Compliance Tab
Automatisierte Compliance-Checks für PCI-DSS, HIPAA und DSGVO
┌─────────────────────────────────────────────────────────────────────────────┐
│ [Monitoring] [Security] [SIEM] [Compliance] [Extended] │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ 📋 Compliance Übersicht │
│ ───────────────────────────────────────────────────────────────────────── │
│ │
│ ┌────────────────┐ ┌────────────────┐ ┌────────────────┐ │
│ │ PCI-DSS │ │ HIPAA │ │ DSGVO │ │
│ │ ████████░░ │ │ ███████░░░ │ │ █████████░ │ │
│ │ 83% │ │ 72% │ │ 91% │ │
│ │ 10/12 Pass │ │ 8/11 Pass │ │ 8/9 Pass │ │
│ └────────────────┘ └────────────────┘ └────────────────┘ │
│ │
│ Findings (offen) │
│ ┌─────────────────────────────────────────────────────────────────────────┐│
│ │ Framework │ Agent │ Check │ Status │ Severity ││
│ ├─────────────────────────────────────────────────────────────────────────┤│
│ │ PCI-DSS │ webserver-01 │ 1.1 Firewall │ ❌ Fail │ High ││
│ │ PCI-DSS │ db-server-01 │ 8.2 MFA │ ❌ Fail │ Critical ││
│ │ HIPAA │ mail-server │ 164.312(a) Enc. │ ⚠️ Warn │ Medium ││
│ │ DSGVO │ backup-server │ Art.32 Security │ ❌ Fail │ High ││
│ └─────────────────────────────────────────────────────────────────────────┘│
│ │
│ [📊 Report generieren] [📥 CSV Export] [🔄 Scan starten] │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
PCI-DSS v4.0
12 automatisierte Checks für Payment Card Industry Data Security Standard.
Geprüfte Requirements:
- 1.1 Firewall-Konfiguration
- 2.1 Default-Passwörter geändert
- 3.4 Festplattenverschlüsselung
- 5.1 Anti-Malware aktiv
- 8.2 Starke Passwort-Policy
- 10.2 Audit Logging aktiv
HIPAA
11 Checks für Health Insurance Portability and Accountability Act.
Geprüfte Safeguards:
- 164.312(a) Access Control
- 164.312(b) Audit Controls
- 164.312(c) Integrity
- 164.312(d) Authentication
- 164.312(e) Transmission Security
DSGVO / GDPR
9 Checks für die Datenschutz-Grundverordnung.
Geprüfte Artikel:
- Art. 5 Datenverarbeitung
- Art. 25 Privacy by Design
- Art. 32 Sicherheit
- Art. 33 Meldepflichten
- Art. 35 DSFA-Anforderungen
📊 Report-Funktionen
Audit-ready Report mit allen Details
Rohdaten für eigene Auswertungen
Automatische wöchentliche Prüfung
🔌 Extended Monitoring Tab
SNMP, JMX und IPMI für Netzwerkgeräte und Hardware
SNMP Monitoring
Netzwerkgeräte-Monitoring über SNMP v1/v2c/v3.
Unterstützte Geräte:
- Switches (Cisco, HP, Aruba)
- Router (Cisco, MikroTik)
- Firewalls (pfSense, FortiGate)
- WLAN-Controller (UniFi, Aruba)
- USVs (APC, Eaton)
Metriken:
- Interface-Statistiken
- Bandbreitennutzung
- Fehlerraten
- CPU/Memory (Netzwerkgeräte)
JMX Monitoring (via Jolokia)
Java-Applikations-Monitoring über JMX/Jolokia.
Unterstützte Applikationen:
- Apache Tomcat
- Apache Kafka
- Elasticsearch
- Wildfly/JBoss
- Eigene Java-Apps
Metriken:
- JVM Heap/Non-Heap Memory
- Thread-Anzahl und States
- Garbage Collection
- Custom MBeans
IPMI Monitoring
Server-Hardware-Sensoren über IPMI.
Unterstützte Server:
- Dell iDRAC
- HP iLO
- Supermicro IPMI
- Lenovo XCC
- Standard BMC
Sensoren:
- CPU-Temperatur
- Lüfterdrehzahl
- Netzteil-Status
- System Event Log (SEL)
📊 Vergleich mit externen Systemen
Wann DiMS ausreicht – und wann nicht
| System | Ersatz-Grad* | DiMS deckt ab | Weiterhin benötigt |
|---|---|---|---|
| Zabbix | ~80% | CPU, RAM, Disk, Network, Process, Hardware, Alerting | SNMP Traps, Web Scenarios, komplexe Trigger-Expressions |
| Wazuh | ~70% | FIM, Auth, Baseline, Vuln, Audit, SIEM-Light | Active Response, Cluster Mode, Cloud-native Security |
| Node Exporter | ~60% | Standard-Metriken, Hardware-Sensoren | Custom Collectors, PromQL-Abfragen |
*Diese Schätzungen beziehen sich auf typische MSP/KMU-Anwendungsfälle. Enterprise-Umgebungen mit komplexen Anforderungen benötigen möglicherweise weiterhin dedizierte Lösungen.
⚡ Ressourcenverbrauch
Minimal-Footprint durch modulare Architektur
| Konfiguration | CPU | RAM | Disk I/O |
|---|---|---|---|
| Nur Patching (ohne DiMS) | < 1% | < 10 MB | Minimal |
| + DiMS Monitoring | < 2% | < 20 MB | Niedrig |
| + DiMS Security | < 3% | < 30 MB | Niedrig |
| Alle DiMS Module | < 5% | < 50 MB | Moderat |
⚙️ DiMS-Module aktivieren
Individuelle Konfiguration pro Agent
Aktivierung in 4 Schritten
- Öffnen Sie Piloten → LiPa Agent
- Wählen Sie einen Agent aus der Liste
- Klicken Sie auf Modul-Konfiguration
- Aktivieren Sie die gewünschten DiMS-Module
Die Änderungen werden beim nächsten Agent-Sync übernommen (innerhalb von Sekunden).
📋 Verfügbare Module
DiMS für Ihre Infrastruktur?
Ersetzen Sie mehrere Tools durch ein integriertes Modul – direkt im Agent.