Rispondere al tuo commento qui poiché lo spazio dei commenti sembra troppo piccolo.
1) Ogni ambiente è diverso e io, o chiunque altro, non posso dire esattamente come dovrebbe essere indagata la tua situazione. Ma i registri sono tutto ciò che serve, non è necessario disturbare il lavoro delle macchine. Vorrei iniziare guardando tutti i registri relativi a questi host nei tempi di quegli avvisi DoS (che potrebbero iniziare con 5 minuti e ridurre se il numero di voci del registro è ingestibile) per ottenere eventualmente un contesto degli eventi. Ad esempio, c'era un altro traffico sospetto inviato dalla stessa fonte.
2) I dispositivi, che sono connessi alla rete, sono più spesso disponibili per la scansione di vulnerabilità e attacchi di attacchi esterni . Non è necessario essere infetti se gli attori malintenzionati vogliono provare ad attaccarli. Purché siano corretti per le suddette vulnerabilità, va bene.
Non sono sicuro di aver compreso correttamente la tua infrastruttura descritta, ma se il traffico scartato era interno, probabilmente era falso positivo. O qualcuno all'interno della tua infrastruttura ha cercato di fare i tuoi host (non impossibile).