Responder tu comentario aquí ya que el espacio para comentarios parece demasiado pequeño.
1) Cada entorno es diferente y yo, o cualquier otra persona, no podemos decir cómo debe investigarse exactamente su situación. Pero los registros son todo lo que necesita, no necesita perturbar el trabajo de las máquinas. Empezaría por ver todos los registros relacionados con estos hosts alrededor de los horarios de esas alertas DoS (podría comenzar con 5 minutos y reducirse si la cantidad de entradas de registro es inmanejable) para obtener un contexto de los eventos. Por ejemplo, ¿hubo algún otro tráfico sospechoso enviado desde la misma fuente?
2) Los dispositivos, que están conectados a la red, suelen estar disponibles para el análisis de vulnerabilidades malintencionadas y los intentos de ataque externo . No necesitan estar infectados si los actores maliciosos quieren intentar atacarlos. Mientras estén parcheados para las vulnerabilidades mencionadas, está bien.
No estoy seguro si entiendo su infraestructura descrita correctamente, pero si el tráfico perdido fue interno, lo más probable es que sea un falso positivo. O alguien dentro de su infraestructura trató de hacer su host (no imposible).