Se eu estiver entendendo isso corretamente, você acha que há um dispositivo desconhecido ou mal-intencionado na rede e deseja detectá-lo. Se fosse eu, eu começaria com uma varredura de rede. O NMAP seria o melhor, mas qualquer coisa nesse ponto deve funcionar se você estiver familiarizado com o que deve estar na rede. Também pode ajudar se você souber que todos os sistemas devem ser uma determinada marca (a OUI pode fornecê-la). Passado isso ... depende da rede, arquitetura e o que você tem acesso.