> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/suricata.md). # Suricata 로그 ## 개요 Panther는 일반적인 방법으로 Suricata 로그 수집을 지원합니다 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션: Amazon Web Services(AWS) S3, SQS, CloudWatch. ## Suricata 로그를 Panther에 온보딩하는 방법 이 로그를 Panther에 연결하려면: 1. Panther 콘솔의 왼쪽 탐색 표시줄에서 다음을 클릭합니다: **구성** > **로그 소스**. 2. 다음을 클릭합니다: **새로 만들기**. 3. 온보딩하려는 로그 유형을 검색한 다음 해당 타일을 클릭합니다. 4. 이 통합에 사용할 데이터 전송 방법을 선택한 다음, 해당 방법을 구성하기 위한 Panther의 지침을 따르세요: * [AWS CloudWatch](https://docs.panther.com/data-onboarding/data-transports/cwl-source) * [AWS SQS](https://docs.panther.com/data-onboarding/data-transports/sqs) * [AWS S3 버킷](https://docs.panther.com/data-onboarding/data-transports/s3) 5. Suricata를 구성하여 로그를 Data Transport 소스로 푸시하세요. * 선택한 Data Transport 소스로 로그를 푸시하는 방법은 Suricata 문서를 참조하세요. ## 지원되는 로그 유형 ### Suricata.알러트 EVE JSON 출력의 알러트 이벤트 유형에 대한 Suricata 파서. 자세한 내용은 Suricata 문서를 참조하세요. 참조: [Suricata.알러트](https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-output.html#alerts) ```yaml 파서: native: name: Suricata.알러트 fields: - name: files description: 파일 type: array element: type: object fields: - name: filename required: true description: 파일명 type: string - name: gaps required: true description: 간격 유형: boolean - 이름: size required: true description: 크기 type: bigint - 이름: state required: true description: 상태 type: string - name: stored required: true description: 저장됨 유형: boolean - name: tx_id required: true description: tx_id type: bigint - name: tx_id description: tx_id type: bigint - name: http description: HTTP type: object fields: - name: http_content_type description: http_content_type type: string - 이름: hostname description: 호스트명 type: string - name: http_method description: http_method type: string - name: http_user_agent description: http_user_agent type: string - 이름: length description: 길이 type: bigint - 이름: protocol description: 프로토콜 type: string - 이름: status description: status type: bigint - 이름: url description: URL type: string - name: ssh description: SSH type: object fields: - name: server description: 서버 type: object fields: - name: proto_version required: true description: proto_version type: float - name: software_version required: true description: software_version type: string - name: app_proto_tc description: app_proto_tc type: string - name: tls description: TLS type: object fields: - name: sni description: SNI type: string 표시자: - ip - name: ja3 required: true description: JA3 type: object fields: - name: hash required: true description: 해시 type: string - name: string required: true description: 문자열 type: string - 이름: version required: true description: 버전 type: string - name: app_proto description: app_proto type: string - 이름: metadata description: 메타데이터 type: object fields: - name: flowbits description: flowbits type: array element: type: string - name: flowints description: flowints type: object fields: - name: applayer.anomaly.count description: applayer.anomaly.count type: bigint - name: 알러트 required: true description: 알러트 type: object fields: - 이름: metadata description: 메타데이터 type: object fields: - name: former_category description: former_category type: array element: type: string - name: affected_product description: affected_product type: array element: type: string - name: attack_target description: attack_target type: array element: type: string - name: deployment description: 배포 type: array element: type: string - name: signature_severity description: signature_severity type: array element: type: string - 이름: tag description: 태그 type: array element: type: string - 이름: created_at required: true description: created_at type: array element: type: float - name: updated_at required: true description: updated_at type: array element: type: float - 이름: action required: true description: 동작 type: string - name: category required: true description: 카테고리 type: string - name: gid required: true description: gid type: bigint - name: rev required: true description: rev type: bigint - 이름: severity required: true description: severity type: bigint - name: signature required: true description: 서명 type: string - name: signature_id required: true description: signature_id type: bigint - name: dest_ip required: true description: dest_ip type: string 표시자: - ip - name: dest_port required: true description: dest_port type: bigint - 이름: event_type required: true description: 이벤트 유형 type: string - name: flow required: true description: 플로우 type: object fields: - name: bytes_toclient required: true description: bytes_toclient type: bigint - name: bytes_toserver required: true description: bytes_toserver type: bigint - name: pkts_toclient required: true description: pkts_toclient type: bigint - name: pkts_toserver required: true description: pkts_toserver type: bigint - name: start required: true description: 시작 type: string - name: flow_id required: true description: flow_id type: bigint - name: in_iface required: true description: in_iface type: string - 이름: proto required: true description: proto type: string - name: src_ip required: true description: src_ip type: string 표시자: - ip - name: src_port required: true description: src_port type: bigint - 이름: timestamp required: true description: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true ``` ### Suricata.Anomaly EVE JSON 출력의 이상 이벤트 유형에 대한 Suricata 파서. 참조: [EVE JSON 출력의 이상에 대한 Suricata 문서.](https://suricata.readthedocs.io/en/suricata-5.0.2/output/eve/eve-json-output.html#anomaly) | 열 | 유형 | 설명 | | --------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------- | | **`이상`** | `{ "code":bigint, "event":string, "layer":string, "type":string }` | Suricata Anomaly 이상 | | `app_proto` | `문자열` | Suricata Anomaly AppProto | | `community_id` | `문자열` | Suricata Anomaly CommunityID | | `dest_ip` | `문자열` | Suricata Anomaly DestIP | | `dest_port` | `정수` | Suricata Anomaly DestPort | | **`event_type`** | `문자열` | Suricata Anomaly EventType | | `flow_id` | `bigint` | Suricata Anomaly FlowID | | `icmp_code` | `bigint` | Suricata Anomaly IcmpCode | | `icmp_type` | `bigint` | Suricata Anomaly IcmpType | | `메타데이터` | `{ "flowbits":[string], "flowints":{ "applayer_anomaly_count":bigint, "http_anomaly_count":bigint, "tcp_retransmission_count":bigint, "tls_anomaly_count":bigint } }` | Suricata Anomaly Metadata | | `패킷` | `문자열` | Suricata Anomaly Packet | | `패킷 정보` | `{ "linktype":bigint }` | Suricata Anomaly PacketInfo | | `pcap_cnt` | `bigint` | Suricata Anomaly PcapCnt | | `pcap_filename` | `문자열` | Suricata Anomaly PcapFilename | | `proto` | `bigint` | Suricata Anomaly Proto | | `src_ip` | `문자열` | Suricata Anomaly SrcIP | | `src_port` | `정수` | Suricata Anomaly SrcPort | | **`timestamp`** | `timestamp` | Suricata Anomaly Timestamp | | `tx_id` | `bigint` | Suricata Anomaly TxID | | `vlan` | `[bigint]` | Suricata Anomaly Vlan | | **`p_log_type`** | `문자열` | Panther가 로그 유형 필드를 추가했습니다. | | **`p_row_id`** | `문자열` | Panther가 테이블 내 고유 ID 필드를 추가했습니다. | | **`p_event_time`** | `timestamp` | Panther가 표준화된 이벤트 시간(UTC) 필드를 추가했습니다. | | **`p_parse_time`** | `timestamp` | Panther가 표준화된 로그 파싱 시간(UTC) 필드를 추가했습니다. | | `p_source_id` | `문자열` | Panther가 소스 ID 필드를 추가했습니다. | | `p_source_label` | `문자열` | Panther가 소스 레이블 필드를 추가했습니다. | | `p_any_ip_addresses` | `[string]` | Panther가 해당 행과 연결된 IP 주소 모음을 포함하는 필드를 추가했습니다. | | `p_any_domain_names` | `[string]` | Panther가 해당 행과 연결된 도메인 이름 모음을 포함하는 필드를 추가했습니다. | | `p_any_sha1_hashes` | `[string]` | Panther가 해당 행과 연결된 SHA1 해시 모음을 포함하는 필드를 추가했습니다. | | `p_any_md5_hashes` | `[string]` | Panther가 해당 행과 연결된 MD5 해시 모음을 포함하는 필드를 추가했습니다. | | `p_any_sha256_hashes` | `[string]` | Panther가 해당 행과 연결된 모든 알고리즘의 SHA256 해시 모음을 포함하는 필드를 추가했습니다. | ### Suricata.DHCP EVE JSON 출력의 DHCP 이벤트 유형에 대한 Suricata 파서. 참조: [Suricata.DHCP](https://suricata.readthedocs.io/en/suricata-5.0.2/output/eve/eve-json-output.html) ```yaml 파서: native: name: Suricata.DHCP description: EVE JSON 출력의 DHCP 이벤트 유형에 대한 Suricata 파서. referenceURL: https://suricata.readthedocs.io/en/suricata-5.0.2/output/eve/eve-json-output.html fields: - name: dest_ip required: true description: dest_ip type: string 표시자: - ip - name: dest_port required: true description: dest_port type: bigint - name: dhcp required: true description: DHCP type: object fields: - name: assigned_ip required: true description: 할당된 IP type: string 표시자: - ip - name: client_mac required: true description: 클라이언트 MAC type: string - name: dhcp_type required: true description: DHCP 유형 type: string - 이름: hostname required: true description: 호스트명 type: string - 이름: id required: true description: ID type: string 표시자: - trace_id - 이름: type required: true description: type type: string - 이름: event_type required: true description: 이벤트 유형 type: string - name: flow_id required: true description: flow_id type: bigint - name: in_iface required: true description: in_iface type: string - 이름: proto required: true description: proto type: string - name: src_ip required: true description: src_ip type: string 표시자: - ip - name: src_port required: true description: src_port type: bigint - 이름: timestamp required: true description: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true ``` ### Suricata.DNS EVE JSON 출력의 DNS 이벤트 유형에 대한 Suricata 파서. 참조: [EVE JSON 출력 DNS에 대한 Suricata 문서.](https://suricata.readthedocs.io/en/suricata-5.0.2/output/eve/eve-json-output.html#dns) ```yaml 스키마: Suricata.DNS 설명: EVE JSON 출력의 DNS 이벤트 유형에 대한 Suricata 파서. 참조 URL: https://suricata.readthedocs.io/en/suricata-5.0.2/output/eve/eve-json-output.html#dns fields: - 이름: community_id 설명: Suricata DNS CommunityID type: string - 이름: dns required: true 설명: Suricata DNS DNS type: object fields: - 이름: aa 설명: Suricata DNS 세부정보 Aa 유형: boolean - 이름: answers 설명: Suricata DNS 세부정보 Answers type: array element: type: object fields: - name: rdata required: true 설명: Suricata DNS 세부정보 Answers Rdata type: string 표시자: - 호스트 이름 - 이름: rrname required: true 설명: Suricata DNS 세부정보 Answers Rrname type: string 표시자: - domain - 이름: rrtype required: true 설명: Suricata DNS 세부정보 Answers Rrtype type: string - 이름: ttl required: true 설명: Suricata DNS 세부정보 Answers TTL type: bigint - 이름: authorities 설명: Suricata DNS 세부정보 Authorities type: array element: type: object fields: - 이름: rrname required: true 설명: Suricata DNS 세부정보Authorities Rrname type: string - 이름: rrtype required: true 설명: Suricata DNS 세부정보Authorities Rrtype type: string - 이름: soa required: true type: object fields: - 이름: expire required: true type: bigint - 이름: minimum required: true type: bigint - 이름: mname required: true type: string - 이름: refresh required: true type: bigint - 이름: retry required: true type: bigint - 이름: rname required: true type: string - 이름: serial required: true type: bigint - 이름: ttl required: true 설명: Suricata DNS 세부정보Authorities TTL type: bigint - 이름: flags 설명: Suricata DNS 세부정보 플래그 type: string - 이름: grouped 설명: Suricata DNS 세부정보 그룹화 type: object fields: - 이름: A 설명: Suricata DNS 세부정보 그룹화 A type: array element: type: string 표시자: - ip - 이름: AAAA 설명: Suricata DNS 세부정보 그룹화 Aaaa type: array element: type: string 표시자: - ip - 이름: CNAME 설명: Suricata DNS 세부정보 그룹화 Cname type: array element: type: string 표시자: - domain - 이름: MX 설명: Suricata DNS 세부정보 그룹화 Mx type: array element: type: string 표시자: - domain - 이름: PTR 설명: Suricata DNS 세부정보 그룹화 Ptr type: array element: type: string - 이름: TXT 설명: Suricata DNS 세부정보 그룹화 Txt type: array element: type: string - 이름: id required: true 설명: Suricata DNS 세부정보 ID type: bigint - 이름: qr 설명: Suricata DNS 세부정보 Qr 유형: boolean - 이름: ra 설명: Suricata DNS 세부정보 Ra 유형: boolean - 이름: rcode 설명: Suricata DNS 세부정보 Rcode type: string - 이름: rd 설명: Suricata DNS 세부정보 Rd 유형: boolean - 이름: rrname 설명: Suricata DNS 세부정보 Rrname type: string 표시자: - domain - name: rdata 설명: Suricata DNS 세부정보 RData type: string 표시자: - ip - 이름: rrtype 설명: Suricata DNS 세부정보 Rrtype type: string - 이름: ttl 설명: Suricata DNS 세부정보 TTL type: bigint - name: tx_id 설명: Suricata DNS 세부정보 TxID type: bigint - 이름: type 설명: Suricata DNS 세부정보 Type type: string - 이름: version 설명: Suricata DNS 세부정보 Version type: bigint - name: dest_ip required: true 설명: Suricata DNS 목적지 IP type: string 표시자: - ip - name: dest_port 설명: Suricata DNS 목적지 포트 유형: int - 이름: event_type required: true 설명: Suricata DNS 이벤트 유형 type: string - name: flow_id required: true 설명: Suricata DNS Flow ID type: bigint 표시자: - trace_id - 이름: pcap_cnt 설명: Suricata DNS PcapCnt type: bigint - 이름: pcap_filename 설명: Suricata DNS PcapFilename type: string - 이름: proto required: true 설명: Suricata DNS Proto type: string - name: in_iface type: string - name: src_ip required: true 설명: Suricata DNS SrcIP type: string 표시자: - ip - name: src_port 설명: Suricata DNS SrcPort 유형: int - 이름: timestamp required: true description: Suricata DNS 타임스탬프 type: timestamp timeFormats: - '%Y-%m-%dT%H:%M:%S.%f%z' isEventTime: true - 이름: vlan 설명: Suricata DNS Vlan type: array element: type: bigint ``` ### Suricata.FileInfo EVE JSON 출력의 FileInfo 이벤트 유형에 대한 Suricata 파서. 참조: [EVE 파일 정보의 파일 및 저장](https://suricata.readthedocs.io/en/suricata-6.0.0/file-extraction/file-extraction.html#file-store-and-eve-fileinfo). ```yaml 스키마: Suricata.FileInfo 파서: native: 이름: Suricata.FileInfo EVE JSON 출력의 FileInfo 이벤트 유형에 대한 Suricata 파서. 참조 URL: https://suricata.readthedocs.io/en/suricata-6.0.0/file-extraction/file-extraction.html#file-store-and-eve-fileinfo fields: - name: app_proto required: true description: app_proto type: string - name: dest_ip required: true description: dest_ip type: string 표시자: - ip - name: dest_port required: true description: dest_port type: bigint - 이름: event_type required: true description: 이벤트 유형 type: string - 이름: fileinfo required: true 설명: fileinfo type: object fields: - name: filename required: true description: 파일명 type: string - name: gaps required: true description: 간격 유형: boolean - 이름: size required: true description: 크기 type: bigint - 이름: state required: true description: 상태 type: string - name: stored required: true description: 저장됨 유형: boolean - name: tx_id required: true description: tx_id type: bigint - name: flow_id required: true description: flow_id type: bigint - name: http required: true description: HTTP type: object fields: - name: http_user_agent description: http_user_agent type: string - name: http_content_type description: http_content_type type: string - 이름: hostname required: true description: 호스트명 type: string - name: http_method required: true description: http_method type: string - 이름: length required: true description: 길이 type: bigint - 이름: protocol required: true description: 프로토콜 type: string - 이름: status required: true description: status type: bigint - 이름: url required: true description: URL type: string - name: in_iface required: true description: in_iface type: string - 이름: proto required: true description: proto type: string - name: src_ip required: true description: src_ip type: string 표시자: - ip - name: src_port required: true description: src_port type: bigint - 이름: timestamp required: true description: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true ``` ### Suricata.Flow EVE JSON 출력의 Flow 이벤트 유형에 대한 Suricata 파서. 참조: [Flow 이벤트 유형](https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-flow). ```yaml 스키마: Suricata.Flow 파서: native: 이름: Suricata.Flow EVE JSON 출력의 Flow 이벤트 유형에 대한 Suricata 파서. 참조 URL: https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-flow fields: - name: app_proto_tc description: app_proto_tc type: string - 이름: icmp_code 설명: icmp_code type: bigint - 이름: icmp_type 설명: icmp_type type: bigint - 이름: metadata description: 메타데이터 type: object fields: - name: flowbits description: flowbits type: array element: type: string - name: flowints description: flowints type: object fields: - name: applayer.anomaly.count description: applayer.anomaly.count type: bigint - name: app_proto description: app_proto type: string - 이름: tcp 설명: tcp type: object fields: - 이름: psh 설명: psh 유형: boolean - 이름: cwr 설명: cwr 유형: boolean - 이름: ecn 설명: ecn 유형: boolean - 이름: fin 설명: fin 유형: boolean - 이름: rst 설명: rst 유형: boolean - 이름: ack 설명: ack 유형: boolean - 이름: state description: 상태 type: string - 이름: syn 설명: syn 유형: boolean - 이름: tcp_flags required: true 설명: tcp_flags type: string - 이름: tcp_flags_tc required: true 설명: tcp_flags_tc type: string - 이름: tcp_flags_ts required: true 설명: tcp_flags_ts type: string - name: dest_port description: dest_port type: bigint - name: src_port description: src_port type: bigint - name: dest_ip required: true description: dest_ip type: string 표시자: - ip - 이름: event_type required: true description: 이벤트 유형 type: string - name: flow required: true description: 플로우 type: object fields: - 이름: age required: true 설명: age type: bigint - 이름: alerted required: true 설명: alerted 유형: boolean - name: bytes_toclient required: true description: bytes_toclient type: bigint - name: bytes_toserver required: true description: bytes_toserver type: bigint - name: end required: true 설명: end type: string - name: pkts_toclient required: true description: pkts_toclient type: bigint - name: pkts_toserver required: true description: pkts_toserver type: bigint - 이름: reason required: true 설명: reason type: string - name: start required: true description: 시작 type: string - 이름: state required: true description: 상태 type: string - name: flow_id required: true description: flow_id type: bigint - name: in_iface required: true description: in_iface type: string - 이름: proto required: true description: proto type: string - name: src_ip required: true description: src_ip type: string 표시자: - ip - 이름: timestamp required: true description: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true ``` ### Suricata.HTTP EVE JSON 출력에서 HTTP 이벤트 유형을 위한 Suricata 파서. 참조: [HTTP 이벤트 유형](https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-output.html#http). ```yaml 스키마: Suricata.HTTP 파서: native: 이름: Suricata.HTTP EVE JSON 출력에서 HTTP 이벤트 유형을 위한 Suricata 파서. 참조 URL: https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-output.html#http fields: - 이름: metadata description: 메타데이터 type: object fields: - name: flowbits description: flowbits type: array element: type: string - name: dest_ip required: true description: dest_ip type: string 표시자: - ip - name: dest_port required: true description: dest_port type: bigint - 이름: event_type required: true description: 이벤트 유형 type: string - name: flow_id required: true description: flow_id type: bigint - name: http required: true description: HTTP type: object fields: - name: http_user_agent description: http_user_agent type: string - name: http_content_type description: http_content_type type: string - 이름: hostname description: 호스트명 type: string - name: http_method description: http_method type: string - 이름: length description: 길이 type: bigint - 이름: protocol description: 프로토콜 type: string - 이름: status description: status type: bigint - 이름: url description: URL type: string - name: in_iface required: true description: in_iface type: string - 이름: proto required: true description: proto type: string - name: src_ip required: true description: src_ip type: string 표시자: - ip - name: src_port required: true description: src_port type: bigint - 이름: timestamp required: true description: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true - name: tx_id required: true description: tx_id type: bigint ``` ### Suricata.SSH EVE JSON 출력에서 SSH 이벤트 유형을 위한 Suricata 파서. 참조: [SSH 이벤트 유형](https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-ssh). ```yaml 스키마: Suricata.SSH 파서: native: 이름: Suricata.SSH EVE JSON 출력에서 SSH 이벤트 유형을 위한 Suricata 파서. 참조 URL: https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-ssh fields: - 이름: metadata description: 메타데이터 type: object fields: - name: flowbits description: flowbits type: array element: type: string - name: dest_ip required: true description: dest_ip type: string 표시자: - ip - name: dest_port required: true description: dest_port type: bigint - 이름: event_type required: true description: 이벤트 유형 type: string - name: flow_id required: true description: flow_id type: bigint - name: in_iface required: true description: in_iface type: string - 이름: proto required: true description: proto type: string - name: src_ip required: true description: src_ip type: string 표시자: - ip - name: src_port required: true description: src_port type: bigint - name: ssh required: true description: SSH type: object fields: - 이름: client 설명: client type: object fields: - name: proto_version required: true description: proto_version type: float - name: software_version required: true description: software_version type: string - name: server description: 서버 type: object fields: - name: proto_version required: true description: proto_version type: float - name: software_version required: true description: software_version type: string - 이름: timestamp required: true description: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true - name: tx_id required: true description: tx_id type: bigint ``` ### Suricata.TLS EVE JSON 출력에서 TLS 이벤트 유형을 위한 Suricata 파서. 참조: [TLS 이벤트 유형](https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-tls). ```yaml 스키마: Suricata.TLS 파서: native: 이름: Suricata.TLS EVE JSON 출력에서 TLS 이벤트 유형을 위한 Suricata 파서. 참조 URL: https://suricata.readthedocs.io/en/suricata-6.0.0/output/eve/eve-json-format.html#event-type-tls fields: - 이름: metadata description: 메타데이터 type: object fields: - name: flowints description: flowints type: object fields: - name: applayer.anomaly.count description: applayer.anomaly.count type: bigint - name: flowbits description: flowbits type: array element: type: string - name: dest_ip required: true description: dest_ip type: string 표시자: - ip - name: dest_port required: true description: dest_port type: bigint - 이름: event_type required: true description: 이벤트 유형 type: string - name: flow_id required: true description: flow_id type: bigint - name: in_iface required: true description: in_iface type: string - 이름: proto required: true description: proto type: string - name: src_ip required: true description: src_ip type: string 표시자: - ip - name: src_port required: true description: src_port type: bigint - 이름: timestamp required: true description: Suricata DNS 타임스탬프 type: timestamp timeFormat: strftime=%Y-%m-%dT%H:%M:%S.%f%z isEventTime: true - name: tls required: true description: TLS type: object fields: - 이름: fingerprint 설명: fingerprint type: string - 이름: issuerdn 설명: issuerdn type: string - 이름: notafter 설명: notafter type: string - 이름: notbefore 설명: notbefore type: string - 이름: serial 설명: serial type: string - 이름: subject 설명: subject type: string - name: ja3 required: true description: JA3 type: object fields: - name: hash description: 해시 type: string - name: string description: 문자열 type: string - 이름: ja3s required: true 설명: ja3s type: object fields: - name: hash description: 해시 type: string - name: string description: 문자열 type: string - name: sni description: SNI type: string - 이름: version required: true description: 버전 type: string ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/suricata.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.