Como realizar a identificação de incidentes com estas características?

Os principais sintomas quantitativos e qualitativos:

1) Queda no desempenho da rede local e link de internet;

2) Queda de desempenho de um determinado host;

3) Detecção do consumo excessivo de recursos de ativos de rede, principalmente do firewall de borda (conexões, cpu, memória e tráfego);

4) Logs do firewall apresentando sucessivas conexões originadas nas redes internas e destinadas a redes externas (internet); Mas também podem haver cenário com sucessivas conexões de rede interna para rede interna, indicando possíveis reconhecimentos do ambiente, deslocamentos laterais ou exiltração de dados.

5) Verificação das requisições resolvidas pelo servidor de DNS;

Podem apontar domínios e IPs ainda não identificados, por estarem agindo de maneira mais furtiva, usando técnicas de evasão de defesas ou por não atingirem números altos de conexões ou não causado impactos no desempenho da rede ou do host.