Не всё так просто с этими туннелями и пивотингом. Часто всю эту «нормальность» трафика просто так не отфильтруешь, слишком много шума и легитимных запросов. Вот и получается, что без нормальной связи с контекстом хоста и учётными записями — мало что поймаешь. Просто сканить DNS и HTTPS на аномалии — это скорее сырьё для подозрений, а не ответ.