Уведомление о вредоносном ПО FirePower - отслеживание пункта назначения

Доброе утро,

Я получил уведомление от FirePower о том, что существует исходящее соединение варианта MALWARE-CNC Win.Trojan.Gh0st с нашим сервером обмена. Я предполагаю, что одному из наших сотрудников было отправлено электронное письмо с вредоносным вложением. Я бы хотел отследить, кому это было отправлено. Вы знаете, возможно ли это. У меня есть исходный IP, но единственное, что сообщает мне уведомление FirePower, это то, что оно было направлено нашему балансировщику нагрузки для обмена. Точно не сообщает мне, в какой почтовый ящик он был отправлен. Можно ли найти эту информацию?

Спасибо, Райан