Hi,<div>
<br>
I have something to clarify about determination is "ssl_state".<br>
<br>
"ssl_state:client_hello” is specified in [1:33801] signature. However, upon confirming the unified file of the actual detected log converted to pcap using Wireshark, the “Handshake Protocol” is not “Client Hello” but “Encrypted Handshake Message”.It seems that "ssl_state" cannot be properly determined.<br>
<br>
Actual configuration:<br>
preprocessor ssl: ports { 443 }, trustservers, noinspect_encrypted<br>
<br>
It would be really great if someone can provide some inputs on these issues.<br>
<br>
Thanks and regards,<br>
<br>
Shin<br>
<br>
<br></div>