Como realizar a identificação de incidentes com estas características?

Os principais sintomas quantitativos e qualitativos:

1) Queda no desempenho da rede local e link de internet;

2) Queda de desempenho de um determinado host;

3) Detecção do consumo excessivo de recursos de ativos de rede, principalmente do firewall de borda (conexões, cpu, memória e tráfego);

4) Logs do firewall apresentando sucessivas conexões originadas nas redes internas e destinadas a redes externas (internet); Mas também podem haver cenário com sucessivas conexões de rede interna para rede interna, indicando possíveis reconhecimentos do ambiente, deslocamentos laterais ou exiltração de dados.

5) Verificação das requisições resolvidas pelo servidor de DNS;

Podem apontar domínios e IPs ainda não identificados, por estarem agindo de maneira mais furtiva, usando técnicas de evasão de defesas ou por não atingirem números altos de conexões ou não causado impactos no desempenho da rede ou do host.

IP relacionado a um dos endereços de IP externo, identificados como malicioso no cenário, realizando requisições a um domínio igualmente malicioso, que tenta se passar pelo "hotmail.com" com "hltmail.com" com técnica chamada "typosquatting", tentando explorar um erro de digitação do usuário ou sua confiança na desatenção ao lê-lo.

Por isso é importante monitorar e armazenar logs das consultas de DNS realizadas, elas são um outro grande indicador para incidentes com estas características.