context:
  alert_signature:
   - evt.Parsed.suricata_alert_signature
  dst_port:
    - evt.Parsed.dest_port
  service:
    - evt.Meta.service
  source_ip:
    - evt.Meta.source_ip
  sub_log_type:
    - evt.Meta.sub_log_type
  suricata_alert_signature_id:
    - evt.Meta.suricata_alert_signature_id
  suricata_rule_severity:
    - evt.Meta.suricata_rule_severity
  dest_ip:
    - evt.Parsed.dest_ip
  dest_port:
    - evt.Parsed.dest_port
  proto:
    - evt.Parsed.proto
  suricata_alert_signature:
    - evt.Parsed.suricata_alert_signature
  suricata_alert_signature_rev:
    - evt.Parsed.suricata_alert_signature_rev