Crie um guia interativo e passo a passo (como um chatbot) para um analista de segurança júnior que acabou de identificar um aumento incomum de tráfego de saída (outbound traffic) em uma porta não padrão (ex: porta 5357 TCP) vindo de um servidor interno crítico que não deveria se comunicar externamente. O guia deve abordar as seguintes etapas de troubleshooting, com perguntas e opções de resposta que levem a ramificações lógicas para identificar a causa raiz:

1.  **Confirmação da Anomalia:**
    *   Como verificar a persistência e o volume desse tráfego? (Ferramentas como `netstat`, `tcpdump`, logs de firewall).
    *   Como identificar o processo/PID associado a essa conexão no servidor de origem? (Ferramentas como `lsof`, `ss`, `Task Manager` no Windows).

2.  **Análise de Contexto:**
    *   O servidor possui alguma aplicação legítima que justificaria comunicação externa nessa porta? (Verificação de documentação, CMDB).
    *   Houve alguma mudança recente (atualização, nova aplicação, configuração) no servidor ou na rede que possa ter impactado isso? (Logs de auditoria, controle de mudanças).

3.  **Investigação de Malwares/Ameaças:**
    *   Como proceder para escanear o servidor em busca de malwares ou rootkits? (Ferramentas AV/EDR, scanners de integridade de arquivos).
    *   Como analisar o destino desse tráfego (IP/domínio) para verificar se é conhecido por atividades maliciosas? (Ferramentas de OSINT, Threat Intelligence).
    *   Como coletar amostras do tráfego ou do processo suspeito para análise forense mais aprofundada?

4.  **Mitigação e Resposta:**
    *   Quais são as opções imediatas para conter o tráfego sem derrubar serviços críticos? (Bloqueio no firewall, isolamento de rede, interrupção do processo).
    *   Quais informações devem ser documentadas para o relatório de incidente e para a equipe de resposta a incidentes?

O guia deve ser didático, com explicações concisas sobre cada ferramenta/conceito e sugestões para o próximo passo, simulando um