Suponiendo que usted tiene el control del equipo de red, entonces sí, puede registrar y monitorear sus acciones.
Captura de paquetes completa: Lo ideal es que desee una captura de paquetes completos de todo el tráfico en los puntos de ingreso / egreso clave para cada segmento. Usted solicitó la mejor manera de hacer esto y esto le daría la mayor cantidad de datos sobre el tráfico en su red. Incluso si solo puede capturar el tráfico en un punto que sabe que está utilizando este host desconocido para conectarse a Internet, aprenderá mucho.
NetFlow: Si la captura de paquete completo no es una opción, puede habilitar NetFlow de alguna forma en los dispositivos y ver las conexiones realizadas por este host desconocido. Esto no será tan completo como la captura completa de paquetes, pero le brindará una gran cantidad de información.
Reglas de cortafuegos o listas de control de acceso utilizadas para el registro: Es posible que pueda habilitar reglas de cortafuegos de solo registro en los dispositivos a través de los cuales se comunica este host desconocido. Dependiendo del tipo de dispositivo utilizado, el nivel de información de registro variará. Algunos dispositivos pueden realizar capturas de paquetes, lo que sería genial si esa es una opción.
Observe la caché de DNS (o registre las consultas de DNS) que realizó el host desconocido si él o ella está usando su DNS. Es posible que deba habilitar WireShark / tshark en el servidor DNS, pero al menos le dará más información sobre el usuario, el tipo de software que están ejecutando y posiblemente las afiliaciones de la empresa.
Registros de proxy o filtro de web: Si su red tiene algún tipo de webproxy para proteger los puntos finales de los clientes de navegar a sitios potencialmente peligrosos, puede consultar estos registros. Dado que está haciendo la pregunta que está haciendo, sospecho que no tiene esto.
Registros de análisis de vulnerabilidades: ¿Su red recibe análisis de vulnerabilidades regulares? Si es así, vea qué datos registró sobre este host.
Registros internos del servidor web: ¿Cree que este dispositivo puede haber accedido a un sitio web interno? Si es así, vea si puede obtener información de User-Agent del registro del servidor web relacionado con este host. Esto puede ayudarlo a identificar el dispositivo y, si se trata de un dispositivo móvil, puede obtener mucha información al respecto a veces incluyendo la versión de firmware del dispositivo .
Esos son los lugares para comenzar a buscar un análisis pasivo. Obviamente, se puede hacer más si se le permite probar activamente el dispositivo, pero eso está fuera del alcance de su pregunta.