Supponendo di avere il controllo delle apparecchiature di rete quindi sì, è possibile registrare e monitorare le loro azioni.
Acquisizione completa dei pacchetti: Idealmente si desidera l'acquisizione di pacchetti completi di tutto il traffico nei punti di ingresso / uscita chiave per ciascun segmento. Hai chiesto il modo migliore per farlo e questo ti darebbe la maggior parte dei dati sul traffico sulla tua rete. Anche se puoi catturare il traffico solo in un punto che sai che questo host non familiare sta usando per connettersi a Internet, imparerai molto.
NetFlow: se l'acquisizione di pacchetti completi non è un'opzione, potresti essere in grado di abilitare NetFlow di qualche forma sui dispositivi e vedere le connessioni fatte da questo host non familiare. Questo non sarà completo come l'acquisizione di pacchetti completi, ma ti fornirà un sacco di ottime informazioni.
Regole del firewall o elenchi di controllo di accesso utilizzati per il log: potresti essere in grado di abilitare le regole del firewall di sola registrazione sui dispositivi con cui comunica questo host sconosciuto. A seconda del tipo di dispositivo utilizzato, il livello delle informazioni di registrazione varierà. Alcuni dispositivi possono fare catture di pacchetti che sarebbero grandiose se fosse un'opzione.
Guarda la cache DNS (o registra le query DNS) fatte dall'host non familiare se lui / lei sta usando il tuo DNS. Potrebbe essere necessario abilitare WireShark / tshark sul server DNS, ma almeno fornirà ulteriori informazioni sull'utente, sul tipo di software in esecuzione e, eventualmente, sulle affiliazioni aziendali.
Registri proxy o webfilter: se la tua rete ha un qualsiasi tipo di proxy Web per proteggere gli endpoint del client dalla navigazione verso siti potenzialmente pericolosi, puoi consultare questi registri. Dato che stai facendo la domanda che stai chiedendo, sospetto che tu non abbia questo.
Registri di scansione delle vulnerabilità: la rete ottiene regolarmente scansioni di vulnerabilità? In tal caso, vedere quali dati ha registrato su questo host.
Registri interni del server Web: Pensi che questo dispositivo possa avere accesso a un sito Web interno? In tal caso, vedere se è possibile ottenere le informazioni di User-Agent dal log del server Web relativo a questo host. Questo potrebbe aiutarti a identificare il dispositivo e, se si tratta di un dispositivo mobile, puoi ottenere molte informazioni su di esso a volte includendo la versione del firmware dei dispositivi .
Questi sono i luoghi in cui iniziare a cercare analisi passive. Ovviamente si può fare di più se si è autorizzati a sondare attivamente il dispositivo, ma questo va oltre lo scopo della domanda.