Ad esempio, stai usando Snort e hai appena ricevuto un evento grave, che afferma che un determinato servizio è stato attaccato.
Che cosa fai con l'IP dell'origine delle minacce?
Quali sono i passaggi eseguiti dall'analista degli eventi di rete?
Modifica: restringendo la domanda, come viene gestita tale minaccia, blocca istantaneamente l'ip? Raccogli prove? Reindirizzare il traffico per ulteriori analisi? Ho solo bisogno di alcuni esempi di comportamento su situazioni di esempio.
Modifica2: in particolare, attacchi DoS / DDoS.