Hi~ 若 貴公司的IP被通報對外部進行攻擊，通常的作法
1.分析FW log or HTTP Proxy Log的目的地IP(須確認為已知惡意目的IP)，再對應出哪一台用戶端電腦去連線。
2.或是sniffer FW及HTTP proxy的封包分析，通常需要用設備，Trendmicro or Websense都有相關的產品，建議可以去詢問經銷商是否有檢查目前環境內的網路威脅測試方案。

以上參考看看～

如果是我，我會先看防火牆流量

觀察網域內異常IP封包

要看中華電信告知的對外的網路攻擊是哪一種。

如果是會轉發垃圾信，查 mail server

如果是會被當成肉鵝，或是被當成跳板，可能需要從下面兩處著手：

(1) 用監測網路流量的軟體，看哪台電腦有大量的上傳或是下載流量
(2) 用 system internal 的 TCPview 在可疑的電腦上執行，看該電腦上連進連出的 port 有沒有奇怪的，有沒有連到可疑的 ip

所以你的架構是

外部-isa-主機-內部

這樣是嗎?

isa無法查出哪個ip流量最大,只能看看日誌
要用一些分析軟体來幫助
如Active Wall

不過建議你在外部和isa中間加個硬體防火牆,
變成這樣 外部-硬防-isa-主機-內部

不用太好,大約幾千的ip分享器即可
都有簡單流量分析和控管流量功能

另我覺得若你不會使用isa來管理的話,也失去isa的功能,
如沒有一定要使用的話直接退下換成硬防
ip分享器都有web介面,使用上方便也簡單

中華電信查到有對外攻擊

這代表公司內部網路有問題, 但是不代表這個病毒只會對外攻擊, 實際上也會對內攻擊的可能性極高

因此光是從 firewall 上去看流量統計還不夠

建議是使用工具--(收費 or 免費), 直接在 switch 交換機上觀察每個 port 的流量和封包數目!!

直接看switch或是hub的燈號比較快.
如果是中毒或是木馬.又有在大量攻擊時那台的燈號會閃的特別快.