Penso che il modo migliore sia utilizzare l'analisi NetFlow per il monitoraggio su larga scala. Se si dispone di un router Cisco, la raccolta NetFlow è integrata ed è possibile combinarla con la suite di strumenti open source SiLK per l'analisi link
NetFlow è stato inizialmente sviluppato da Cisco per scopi di fatturazione e non raccoglie nessuno dei payload, ma solo informazioni di riepilogo come:
- Source IP
- Dest IP
- Porta di origine
- Porta Dest
- I pacchetti
- Byte
- Ora di inizio
- Ora di fine
- Bandiere
- ecc.
Con questo è possibile analizzare rapidamente grandi quantità di dati, ho una installazione di SiLK usando l'IPFix di sostituzione NetFlow open source da IETF che riceve 150.000 eventi al secondo.
C'è un manuale gratuito per iniziare: link
Ciò farebbe esattamente ciò che si desidera e fornire vantaggi di sicurezza a lungo termine come il rilevamento delle tendenze e delle anomalie.
Un'altra opzione se vuoi farlo solo una volta, configura una porta span sul punto di uscita e raccogli dati usando tcpdump per un breve periodo. Assicurati di eliminare il PCAP quando hai finito dato che potrebbe contenere PII.