Parece que os comentários acima analisaram o netstat muito bem, o que é uma rota bastante promissora se você puder fazê-lo facilmente.
A outra rota é monitorando o tráfego da rede, na própria caixa ou no roteador / switch. Os formatos de fluxo como o NetFlow / IPFIX / Jfluxo / sFlow são todos úteis para obter resumos de comunicações entre hosts e são o método usual de determinar quem está realizando a maioria das conexões ou usando a maior parte da largura de banda de um sistema. É como uma conta de telefone para a rede: você recebe os hosts, as portas e o número de pacotes / bytes para cada sessão. Você pode facilmente calcular quem está fazendo o quê.
Você precisará de duas coisas para fazer isso funcionar: um exportador de fluxo (se você não conseguir obter fluxo com facilidade do switch / roteador, provavelmente há meia dúzia de exportadores gratuitos de fluxo do Windows que você pode executar diretamente na caixa; irá transformá-los facilmente) e um coletor de fluxo (idem) para receber os registros de fluxo e colocá-los em um formato que você possa usar.
É mais trabalho fazer isso do que usar netstat, mas acho que a resposta será mais definitiva - você obterá o número e os registros de data e hora dos acessos por endereço IP e volumes de bytes, que devem ser mais do que o suficiente para escolher o (s) culpado (s) correto (s).