Minha melhor sugestão para você é configurar algum tipo de IDS (como Snort ), possivelmente em combinação com um exportador Netflow e ferramentas trituradoras como ferramentas de fluxo e / ou JKFlow . Isso permitirá que você analise atividades em sua rede e detecte eventos "incomuns" ou "suspeitos".
A chave aqui é determinar o que é "normal" versus "anormal" para o seu ambiente a longo prazo, assim todos os alertas que você receber serão significativos. Se o seu sistema de monitoramento emitir constantemente falsos alarmes, você acabará por ficar dessensibilizado e perderá um problema real.