Кража/вскрытие банкомата на сколько я понимаю определяется по сработкам охранных устройств, значит мы можем мониторить только НСД в персональный компьютер, т.к. более ничего мы там мониторить по сети не можем как я понимаю, если конечно охранное оборудование не подключено к Интернету.
Думаю Вам необходимо определить на что конкретно вы хотите реагировать:

Недоступность по ICMP, Недоступность агента - наверное банкомат украли, что не факт...

Сработка внутренней системы защиты - анализ логфайла этой СЗИ

Вход под любым пользователем, смена пароля - уведомление

Мониторинг работоспособности всего критичного ПО
Куча элементов данных типа: И либо на каждое событие триггер на неработоспособность службы , либо несколько тригеров на группы служб.

Мониторинг целостности исполняемых файлов и dll при автозапуске используя ПО hashfile.exe от ЦБ, список не подскажу, можно использовать список рекомендуемый ЦБ для АРМ КБР или АРМ ФЭС/ОЭС + что-то свое. Далее результат hashfile.exe выводится в файл, контрольную сумму этого файла необходимо мониторить заббиксом + периодически раз в несколько минут выполнять пересчет. Права на папку с hashfile.exe и результатом ее работы только у пользователя).

Ну и наверное изменение списка запущенного ПО (не службы) как то мониторить.

DDos, что наверное маловероятно:
Самое плохое здесь, что необходимо выставлять критические значения опроса устройств, т.е. пинговать каждую секунду, почти все данные скидывать наверное раз 20 секунд.Если вы конечно хотите моментально отследить НСД, кражу банкомата.

Как это делать безопасно? Включить шифрование связи с агентом, остальные рекомендации от PCI DSS, ЦБ, ФСТЭК, ФСБ