# Suricata 로그 ## 개요 Panther는 일반적인 방법으로 Suricata 로그를 수집하는 것을 지원합니다 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션: Amazon Web Services(AWS) S3, SQS, 및 CloudWatch. ## Panther에 Suricata 로그를 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther Console의 왼쪽 탐색 모음에서 **구성하세요.** > **로그 소스**. 2. 을 클릭한 다음 **새로 만들기**. 3. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭합니다. 4. 이 통합에 사용할 데이터 전송 방법을 선택한 다음, 해당 방법을 구성하기 위한 Panther의 지침을 따르세요: * [AWS CloudWatch](https://docs.panther.com/data-onboarding/data-transports/cwl-source) * [AWS SQS](https://docs.panther.com/data-onboarding/data-transports/sqs) * [AWS S3 버킷](https://docs.panther.com/data-onboarding/data-transports/s3) 5. Suricata를 구성하여 로그를 Data Transport 소스로 푸시합니다. * 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Suricata 문서를 참조하세요. ## 지원되는 로그 유형 ### Suricata.알러트 EVE JSON 출력의 알러트 이벤트 유형에 대한 Suricata 파서입니다. 자세한 내용은 Suricata 문서의 참조: [Suricata.알러트](https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-output.html#alerts) ```yaml parser: native: 이름: Suricata.알러트 fields: - 이름: files 설명: files type: array element: type: object fields: - name: filename required: true 설명: filename type: string - 이름: gaps required: true 설명: gaps type: boolean - 이름: size required: true 설명: size type: bigint - 이름: state required: true 설명: state type: string - 이름: stored required: true 설명: stored type: boolean - 이름: tx_id required: true 설명: tx_id type: bigint - 이름: tx_id 설명: tx_id type: bigint - 이름: http 설명: http type: object fields: - 이름: http_content_type 설명: http_content_type type: string - name: hostname 설명: hostname type: string - 이름: http_method 설명: http_method type: string - 이름: http_user_agent 설명: http_user_agent type: string - 이름: length 설명: length type: bigint - 이름: protocol 설명: protocol type: string - 이름: status description: status type: bigint - 이름: url 설명: url type: string - 이름: ssh 설명: ssh type: object fields: - 이름: server 설명: server type: object fields: - 이름: proto_version required: true 설명: proto_version type: float - 이름: software_version required: true 설명: software_version type: string - 이름: app_proto_tc 설명: app_proto_tc type: string - 이름: tls 설명: tls type: object fields: - 이름: sni 설명: sni type: string indicators: - ip - 이름: ja3 required: true 설명: ja3 type: object fields: - 이름: hash required: true 설명: hash type: string - 이름: string required: true 설명: string type: string - 이름: version required: true 설명: version type: string - 이름: app_proto 설명: app_proto type: string - name: metadata 설명: metadata type: object fields: - 이름: flowbits 설명: flowbits type: array element: type: string - 이름: flowints 설명: flowints type: object fields: - 이름: applayer.anomaly.count 설명: applayer.anomaly.count type: bigint - 이름: 알러트 required: true 설명: 알러트 type: object fields: - name: metadata 설명: metadata type: object fields: - 이름: former_category 설명: former_category type: array element: type: string - 이름: affected_product 설명: affected_product type: array element: type: string - 이름: attack_target 설명: attack_target type: array element: type: string - 이름: deployment 설명: deployment type: array element: type: string - 이름: signature_severity 설명: signature_severity type: array element: type: string - name: tag 설명: tag type: array element: type: string - 이름: created_at required: true 설명: created_at type: array element: type: float - 이름: updated_at required: true 설명: updated_at type: array element: type: float - 이름: 동작 required: true 설명: action type: string - name: category required: true 설명: category type: string - 이름: gid required: true 설명: gid type: bigint - 이름: rev required: true 설명: rev type: bigint - name: severity required: true 설명: 심각도 type: bigint - 이름: signature required: true 설명: signature type: string - 이름: signature_id required: true 설명: signature_id type: bigint - name: dest_ip required: true 설명: dest_ip type: string indicators: - ip - name: dest_port required: true 설명: dest_port type: bigint - 이름: event_type required: true 설명: event_type type: string - 이름: flow required: true 설명: flow type: object fields: - 이름: bytes_toclient required: true 설명: bytes_toclient type: bigint - 이름: bytes_toserver required: true 설명: bytes_toserver type: bigint - 이름: pkts_toclient required: true 설명: pkts_toclient type: bigint - 이름: pkts_toserver required: true 설명: pkts_toserver type: bigint - 이름: start required: true 설명: start type: string - 이름: flow_id required: true 설명: flow_id type: bigint - 이름: in_iface required: true 설명: in_iface type: string - 이름: proto required: true 설명: proto type: string - 이름: src_ip required: true 설명: src_ip type: string indicators: - ip - 이름: src_port required: true 설명: src_port type: bigint - name: timestamp required: true 설명: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true ``` ### Suricata.Anomaly EVE JSON 출력의 Anomaly 이벤트 유형을 위한 Suricata 파서. 참조: [EVE JSON 출력 Anomalies에 대한 Suricata 문서.](https://suricata.readthedocs.io/en/suricata-5.0.2/output/eve/eve-json-output.html#anomaly) | 열 | 유형 | 설명 | | --------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------- | | **`anomaly`** | `{ "code":bigint, "event":string, "layer":string, "type":string }` | Suricata Anomaly Anomaly | | `app_proto` | `string` | Suricata Anomaly AppProto | | `community_id` | `string` | Suricata Anomaly CommunityID | | `dest_ip` | `string` | Suricata Anomaly DestIP | | `dest_port` | `int` | Suricata Anomaly DestPort | | **`event_type`** | `string` | Suricata Anomaly EventType | | `flow_id` | `bigint` | Suricata Anomaly FlowID | | `icmp_code` | `bigint` | Suricata Anomaly IcmpCode | | `icmp_type` | `bigint` | Suricata Anomaly IcmpType | | `메타데이터` | `{ "flowbits":[string], "flowints":{ "applayer_anomaly_count":bigint, "http_anomaly_count":bigint, "tcp_retransmission_count":bigint, "tls_anomaly_count":bigint } }` | Suricata Anomaly 메타데이터 | | `packet` | `string` | Suricata Anomaly Packet | | `packet_info` | `{ "linktype":bigint }` | Suricata Anomaly PacketInfo | | `pcap_cnt` | `bigint` | Suricata Anomaly PcapCnt | | `pcap_filename` | `string` | Suricata Anomaly PcapFilename | | `프로토` | `bigint` | Suricata 이상 프로토 | | `src_ip` | `string` | Suricata 이상 SrcIP | | `src_port` | `int` | Suricata 이상 SrcPort | | **`타임스탬프`** | `타임스탬프` | Suricata 이상 타임스탬프 | | `tx_id` | `bigint` | Suricata 이상 TxID | | `vlan` | `[bigint]` | Suricata 이상 Vlan | | **`p_log_type`** | `string` | Panther가 로그 유형이 포함된 필드를 추가함 | | **`p_row_id`** | `string` | Panther가 테이블 내 고유 ID가 포함된 필드를 추가함 | | **`p_event_time`** | `타임스탬프` | Panther가 표준화된 이벤트 시간(UTC)을 추가함 | | **`p_parse_time`** | `타임스탬프` | Panther가 표준화된 로그 파싱 시간(UTC)을 추가함 | | `p_source_id` | `string` | Panther가 소스 ID가 포함된 필드를 추가함 | | `p_source_label` | `string` | Panther가 소스 레이블이 포함된 필드를 추가함 | | `p_any_ip_addresses` | `[string]` | Panther가 행과 관련된 IP 주소 모음을 포함하는 필드를 추가함 | | `p_any_domain_names` | `[string]` | Panther가 행과 관련된 도메인 이름 모음을 포함하는 필드를 추가함 | | `p_any_sha1_hashes` | `[string]` | Panther가 행과 관련된 SHA1 해시 모음을 포함하는 필드를 추가함 | | `p_any_md5_hashes` | `[string]` | Panther가 행과 관련된 MD5 해시 모음을 포함하는 필드를 추가함 | | `p_any_sha256_hashes` | `[string]` | Panther가 행과 관련된 모든 알고리즘의 SHA256 해시 모음을 포함하는 필드를 추가함 | ### Suricata.DHCP EVE JSON 출력의 DHCP 이벤트 유형을 위한 Suricata 파서. 참조: [Suricata.DHCP](https://suricata.readthedocs.io/en/suricata-5.0.2/output/eve/eve-json-output.html) ```yaml parser: native: name: Suricata.DHCP description: EVE JSON 출력의 DHCP 이벤트 유형을 위한 Suricata 파서. referenceURL: https://suricata.readthedocs.io/en/suricata-5.0.2/output/eve/eve-json-output.html fields: - name: dest_ip required: true 설명: dest_ip type: string indicators: - ip - name: dest_port required: true 설명: dest_port type: bigint - name: dhcp required: true description: dhcp type: object fields: - name: assigned_ip required: true description: assigned_ip type: string indicators: - ip - name: client_mac required: true description: client_mac type: string - name: dhcp_type required: true description: dhcp_type type: string - name: hostname required: true 설명: hostname type: string - name: id required: true description: id type: string indicators: - trace_id - name: type required: true description: type type: string - 이름: event_type required: true 설명: event_type type: string - 이름: flow_id required: true 설명: flow_id type: bigint - 이름: in_iface required: true 설명: in_iface type: string - 이름: proto required: true 설명: proto type: string - 이름: src_ip required: true 설명: src_ip type: string indicators: - ip - 이름: src_port required: true 설명: src_port type: bigint - name: timestamp required: true 설명: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true ``` ### Suricata.DNS EVE JSON 출력의 DNS 이벤트 유형에 대한 Suricata 파서. 참조: [EVE JSON 출력 DNS에 대한 Suricata 문서.](https://suricata.readthedocs.io/en/suricata-5.0.2/output/eve/eve-json-output.html#dns) ```yaml schema: Suricata.DNS description: EVE JSON 출력의 DNS 이벤트 유형에 대한 Suricata 파서. referenceURL: https://suricata.readthedocs.io/en/suricata-5.0.2/output/eve/eve-json-output.html#dns fields: - name: community_id description: Suricata DNS CommunityID type: string - name: dns required: true description: Suricata DNS DNS type: object fields: - name: aa description: Suricata DNSDetails Aa type: boolean - name: answers description: Suricata DNSDetails Answers type: array element: type: object fields: - 이름: rdata required: true description: Suricata DNSDetailsAnswers Rdata type: string indicators: - hostname - name: rrname required: true description: Suricata DNSDetailsAnswers Rrname type: string indicators: - 도메인 - name: rrtype required: true description: Suricata DNSDetailsAnswers Rrtype type: string - name: ttl required: true description: Suricata DNSDetailsAnswers TTL type: bigint - name: authorities description: Suricata DNSDetails Authorities type: array element: type: object fields: - name: rrname required: true description: Suricata DNSDetailsAuthorities Rrname type: string - name: rrtype required: true description: Suricata DNSDetailsAuthorities Rrtype type: string - name: soa required: true type: object fields: - name: expire required: true type: bigint - name: minimum required: true type: bigint - name: mname required: true type: string - name: refresh required: true type: bigint - name: retry required: true type: bigint - name: rname required: true type: string - name: serial required: true type: bigint - name: ttl required: true description: Suricata DNSDetailsAuthorities TTL type: bigint - 이름: flags description: Suricata DNSDetails Flags type: string - name: grouped description: Suricata DNSDetails Grouped type: object fields: - name: A description: Suricata DNSDetailsGrouped A type: array element: type: string indicators: - ip - name: AAAA description: Suricata DNSDetailsGrouped Aaaa type: array element: type: string indicators: - ip - name: CNAME description: Suricata DNSDetailsGrouped Cname type: array element: type: string indicators: - 도메인 - name: MX description: Suricata DNSDetailsGrouped Mx type: array element: type: string indicators: - 도메인 - name: PTR description: Suricata DNSDetailsGrouped Ptr type: array element: type: string - name: TXT description: Suricata DNSDetailsGrouped Txt type: array element: type: string - name: id required: true description: Suricata DNSDetails ID type: bigint - name: qr description: Suricata DNSDetails Qr type: boolean - name: ra description: Suricata DNSDetails Ra type: boolean - name: rcode description: Suricata DNSDetails Rcode type: string - name: rd description: Suricata DNSDetails Rd type: boolean - name: rrname description: Suricata DNSDetails Rrname type: string indicators: - 도메인 - 이름: rdata description: Suricata DNSDetails RData type: string indicators: - ip - name: rrtype description: Suricata DNSDetails Rrtype type: string - name: ttl description: Suricata DNSDetails TTL type: bigint - 이름: tx_id description: Suricata DNSDetails TxID type: bigint - name: type description: Suricata DNSDetails Type type: string - 이름: version description: Suricata DNSDetails Version type: bigint - name: dest_ip required: true description: Suricata DNS 대상 IP type: string indicators: - ip - name: dest_port description: Suricata DNS 대상 포트 유형: int - 이름: event_type required: true description: Suricata DNS 이벤트 유형 type: string - 이름: flow_id required: true description: Suricata DNS FlowID type: bigint indicators: - trace_id - name: pcap_cnt description: Suricata DNS PcapCnt type: bigint - name: pcap_filename description: Suricata DNS PcapFilename type: string - 이름: proto required: true description: Suricata DNS 프로토콜 type: string - 이름: in_iface type: string - 이름: src_ip required: true description: Suricata DNS 출발 IP type: string indicators: - ip - 이름: src_port description: Suricata DNS 출발 포트 유형: int - name: timestamp required: true 설명: Suricata DNS 타임스탬프 type: timestamp timeFormats: - '%Y-%m-%dT%H:%M:%S.%f%z' isEventTime: true - name: vlan description: Suricata DNS Vlan type: array element: type: bigint ``` ### Suricata.FileInfo EVE JSON 출력의 FileInfo 이벤트 유형에 대한 Suricata 파서. 참조: [파일 및 저장 EVE 파일 정보](https://suricata.readthedocs.io/en/suricata-6.0.0/file-extraction/file-extraction.html#file-store-and-eve-fileinfo). ```yaml schema: Suricata.FileInfo parser: native: name: Suricata.FileInfo description: EVE JSON 출력의 FileInfo 이벤트 유형에 대한 Suricata 파서. referenceURL: https://suricata.readthedocs.io/en/suricata-6.0.0/file-extraction/file-extraction.html#file-store-and-eve-fileinfo fields: - 이름: app_proto required: true 설명: app_proto type: string - name: dest_ip required: true 설명: dest_ip type: string indicators: - ip - name: dest_port required: true 설명: dest_port type: bigint - 이름: event_type required: true 설명: event_type type: string - name: fileinfo required: true description: fileinfo type: object fields: - name: filename required: true 설명: filename type: string - 이름: gaps required: true 설명: gaps type: boolean - 이름: size required: true 설명: size type: bigint - 이름: state required: true 설명: state type: string - 이름: stored required: true 설명: stored type: boolean - 이름: tx_id required: true 설명: tx_id type: bigint - 이름: flow_id required: true 설명: flow_id type: bigint - 이름: http required: true 설명: http type: object fields: - 이름: http_user_agent 설명: http_user_agent type: string - 이름: http_content_type 설명: http_content_type type: string - name: hostname required: true 설명: hostname type: string - 이름: http_method required: true 설명: http_method type: string - 이름: length required: true 설명: length type: bigint - 이름: protocol required: true 설명: protocol type: string - 이름: status required: true description: status type: bigint - 이름: url required: true 설명: url type: string - 이름: in_iface required: true 설명: in_iface type: string - 이름: proto required: true 설명: proto type: string - 이름: src_ip required: true 설명: src_ip type: string indicators: - ip - 이름: src_port required: true 설명: src_port type: bigint - name: timestamp required: true 설명: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true ``` ### Suricata.Flow EVE JSON 출력의 Flow 이벤트 유형에 대한 Suricata 파서. 참조: [Flow 이벤트 유형](https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-flow). ```yaml schema: Suricata.Flow parser: native: name: Suricata.Flow description: EVE JSON 출력의 Flow 이벤트 유형에 대한 Suricata 파서. referenceURL: https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-flow fields: - 이름: app_proto_tc 설명: app_proto_tc type: string - name: icmp_code description: icmp_code type: bigint - name: icmp_type description: icmp_type type: bigint - name: metadata 설명: metadata type: object fields: - 이름: flowbits 설명: flowbits type: array element: type: string - 이름: flowints 설명: flowints type: object fields: - 이름: applayer.anomaly.count 설명: applayer.anomaly.count type: bigint - 이름: app_proto 설명: app_proto type: string - name: tcp description: tcp type: object fields: - name: psh description: psh type: boolean - name: cwr description: cwr type: boolean - name: ecn description: ecn type: boolean - name: fin description: fin type: boolean - name: rst description: rst type: boolean - name: ack description: ack type: boolean - 이름: state 설명: state type: string - name: syn description: syn type: boolean - name: tcp_flags required: true description: tcp_flags type: string - name: tcp_flags_tc required: true description: tcp_flags_tc type: string - name: tcp_flags_ts required: true description: tcp_flags_ts type: string - name: dest_port 설명: dest_port type: bigint - 이름: src_port 설명: src_port type: bigint - name: dest_ip required: true 설명: dest_ip type: string indicators: - ip - 이름: event_type required: true 설명: event_type type: string - 이름: flow required: true 설명: flow type: object fields: - name: age required: true description: age type: bigint - name: alerted required: true description: alerted type: boolean - 이름: bytes_toclient required: true 설명: bytes_toclient type: bigint - 이름: bytes_toserver required: true 설명: bytes_toserver type: bigint - name: end required: true description: end type: string - 이름: pkts_toclient required: true 설명: pkts_toclient type: bigint - 이름: pkts_toserver required: true 설명: pkts_toserver type: bigint - 이름: reason required: true description: reason type: string - 이름: start required: true 설명: start type: string - 이름: state required: true 설명: state type: string - 이름: flow_id required: true 설명: flow_id type: bigint - 이름: in_iface required: true 설명: in_iface type: string - 이름: proto required: true 설명: proto type: string - 이름: src_ip required: true 설명: src_ip type: string indicators: - ip - name: timestamp required: true 설명: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true ``` ### Suricata.HTTP EVE JSON 출력의 HTTP 이벤트 유형에 대한 Suricata 파서. 참조: [HTTP 이벤트 유형](https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-output.html#http). ```yaml schema: Suricata.HTTP parser: native: name: Suricata.HTTP description: EVE JSON 출력의 HTTP 이벤트 유형에 대한 Suricata 파서. referenceURL: https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-output.html#http fields: - name: metadata 설명: metadata type: object fields: - 이름: flowbits 설명: flowbits type: array element: type: string - name: dest_ip required: true 설명: dest_ip type: string indicators: - ip - name: dest_port required: true 설명: dest_port type: bigint - 이름: event_type required: true 설명: event_type type: string - 이름: flow_id required: true 설명: flow_id type: bigint - 이름: http required: true 설명: http type: object fields: - 이름: http_user_agent 설명: http_user_agent type: string - 이름: http_content_type 설명: http_content_type type: string - name: hostname 설명: hostname type: string - 이름: http_method 설명: http_method type: string - 이름: length 설명: length type: bigint - 이름: protocol 설명: protocol type: string - 이름: status description: status type: bigint - 이름: url 설명: url type: string - 이름: in_iface required: true 설명: in_iface type: string - 이름: proto required: true 설명: proto type: string - 이름: src_ip required: true 설명: src_ip type: string indicators: - ip - 이름: src_port required: true 설명: src_port type: bigint - name: timestamp required: true 설명: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true - 이름: tx_id required: true 설명: tx_id type: bigint ``` ### Suricata.SSH EVE JSON 출력의 SSH 이벤트 유형에 대한 Suricata 파서. 참조: [SSH 이벤트 유형](https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-ssh). ```yaml schema: Suricata.SSH parser: native: name: Suricata.SSH description: EVE JSON 출력의 SSH 이벤트 유형에 대한 Suricata 파서. referenceURL: https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-ssh fields: - name: metadata 설명: metadata type: object fields: - 이름: flowbits 설명: flowbits type: array element: type: string - name: dest_ip required: true 설명: dest_ip type: string indicators: - ip - name: dest_port required: true 설명: dest_port type: bigint - 이름: event_type required: true 설명: event_type type: string - 이름: flow_id required: true 설명: flow_id type: bigint - 이름: in_iface required: true 설명: in_iface type: string - 이름: proto required: true 설명: proto type: string - 이름: src_ip required: true 설명: src_ip type: string indicators: - ip - 이름: src_port required: true 설명: src_port type: bigint - 이름: ssh required: true 설명: ssh type: object fields: - name: client description: 클라이언트 type: object fields: - 이름: proto_version required: true 설명: proto_version type: float - 이름: software_version required: true 설명: software_version type: string - 이름: server 설명: server type: object fields: - 이름: proto_version required: true 설명: proto_version type: float - 이름: software_version required: true 설명: software_version type: string - name: timestamp required: true 설명: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true - 이름: tx_id required: true 설명: tx_id type: bigint ``` ### Suricata.TLS EVE JSON 출력의 TLS 이벤트 유형에 대한 Suricata 파서. 참조: [TLS 이벤트 유형](https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-tls). ```yaml schema: Suricata.TLS parser: native: name: Suricata.TLS description: EVE JSON 출력의 TLS 이벤트 유형에 대한 Suricata 파서. referenceURL: https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-tls fields: - name: metadata 설명: metadata type: object fields: - 이름: flowints 설명: flowints type: object fields: - 이름: applayer.anomaly.count 설명: applayer.anomaly.count type: bigint - 이름: flowbits 설명: flowbits type: array element: type: string - name: dest_ip required: true 설명: dest_ip type: string indicators: - ip - name: dest_port required: true 설명: dest_port type: bigint - 이름: event_type required: true 설명: event_type type: string - 이름: flow_id required: true 설명: flow_id type: bigint - 이름: in_iface required: true 설명: in_iface type: string - 이름: proto required: true 설명: proto type: string - 이름: src_ip required: true 설명: src_ip type: string indicators: - ip - 이름: src_port required: true 설명: src_port type: bigint - name: timestamp required: true 설명: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true - 이름: tls required: true 설명: tls type: object fields: - name: fingerprint description: fingerprint type: string - name: issuerdn description: issuerdn type: string - name: notafter description: notafter type: string - name: notbefore description: notbefore type: string - name: serial description: serial type: string - name: subject description: subject type: string - 이름: ja3 required: true 설명: ja3 type: object fields: - 이름: hash 설명: hash type: string - 이름: string 설명: string type: string - name: ja3s required: true description: ja3s type: object fields: - 이름: hash 설명: hash type: string - 이름: string 설명: string type: string - 이름: sni 설명: sni type: string - 이름: version required: true 설명: version type: string ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/suricata.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.