Por ejemplo, estás usando Snort y acabas de tener un evento grave, que indica que un servicio determinado está siendo atacado.
¿Qué haces con la IP de origen de la amenaza?
¿Cuáles son los pasos que realiza el analista de eventos de red?
Editar: Reduciendo la pregunta, ¿cómo se maneja con tales amenazas, bloquear instantáneamente la ip? ¿Reunir evidencias? ¿Redireccionar el tráfico para un posterior análisis? Solo necesito algunos ejemplos de comportamiento en situaciones de ejemplo.
Edit2: Específicamente, ataques DoS / DDoS.