Suponho que responderei o que aprendi nos 6 ou mais meses desde que publiquei esta pergunta.
Eu monitorei um Windows Server, conectado a um endereço IP estático, com segurança básica em vigor (firewall, desligue serviços desnecessários do Windows, etc.). Descobri que, se eu saísse do FTP, usando o IIS 6 em execução, obteria 30.000 a 60.000 tentativas de login aleatório por mês. Alguns meses foram piores do que outros, tentativas de login em massa vieram em todas as formas e tamanhos. Eles tentaram muitos nomes de login, às vezes tentavam muito o mesmo nome.
Quando interrompi o serviço de FTP, as tentativas de login pararam.
Também implementamos um procedimento sólido para fazer o backup do log de eventos, para que grandes tentativas de login não possam ser usadas para encobrir outra atividade, obstruindo o log de eventos.
Aceito outras respostas se alguém tiver alguma experiência com isso. Caso contrário, deixarei esta resposta para qualquer pessoa interessada.