Главное в pivoting и tunneling — смотреть не просто на сам трафик или инструменты, а на его контекст: откуда и кем он идет, что было до и после. Особенно DNS и HTTPS — они часто кажутся нормой, пока не понимаешь, что за ними скрывается цепочка с foothold и lateral movement. Выделять аномалии надо не изолированно, а связывать в последовательность, тогда становится понятнее, где настоящая атака, а где обычный шум.