Você pode usar o Process Monitor (procmon) para isso. Link para o download: link
Depois de abri-lo, defina alguns filtros apenas para o conteúdo da rede. Se você tiver várias interfaces de rede, poderá usá-las:
Operation | is | TCP Send | then Include
Operation | is | UDP Send | then Include
Path | contains | 127.0.0.1 | then Exclude
(Eu estou supondo que você não se importa em acessar o endereço de loopback)
Se você tiver apenas uma interface de rede ou apenas uma que lhe interessa, poderá definir o filtro como:
Path | begins with | x.x.x.x | then include
Onde x.x.x.x é o endereço IP da interface local.
Você pode filtrá-lo ainda mais a partir daqui, excluindo processos bons conhecidos ou excluindo pacotes de solicitações de DNS / acks / etc. Você pode deixá-lo rodar pelo tempo que quiser, mas fique de olho no uso da memória. Por padrão, ele manterá 199 milhões de eventos no loop e você pode querer aumentar ou diminuir esse valor. No final do dia, você pode navegar pela lista manualmente ou ir para Ferramentas - > Resumo da rede e filtre por endereços IP individuais.