<div dir="ltr"><div dir="ltr"><div>As Coop explained cloud computing means your traffic could head to lots of different countries.</div><div><br></div><div>I wondered if the Server Name Indication SNI field was present in the traffic and does that help identify what the traffic is related to i.e. onedrive, dropbox etc.</div><div><br></div><div><a href="https://suricata.readthedocs.io/en/suricata-4.0.5/rules/tls-keywords.html">https://suricata.readthedocs.io/en/suricata-4.0.5/rules/tls-keywords.html</a><br></div><div><br></div><div>I can't tell you how this would work specifically in Suricata because we use a different method to pull out SNI fields on SSL/TLS traffic.  Regards</div><div><br></div><div>Jag</div><div><br></div></div></div>