DLP-Ereignisse an Ihr SIEM streamen

Zeuslock kann jede DLP-Erkennung im OCSF-Format (Open Cybersecurity Schema Framework) an Ihr SIEM liefern, sodass sie sich sauber in Splunk, Microsoft Sentinel oder Elastic einfügt. Es gibt zwei Wege — Pull (Ihr SIEM fragt Zeuslock ab) und Push (Zeuslock leitet an Ihr SIEM weiter). Öffnen Sie SIEM in der Seitenleiste — „DLP-Ereignisse im OCSF-Format weiterleiten oder abrufen“.

Zuerst: einen API-Schlüssel holen

Auf der Seite API-Schlüssel erstellen Sie einen Schlüssel, benennen ihn für Ihr SIEM und kopieren den vollständigen Schlüssel, sobald er angezeigt wird. Sie fügen ihn Ihrem SIEM-Client hinzu. (Siehe API-Schlüssel erstellen & verwalten.)

Variante A — Pull-API (Ihr SIEM fragt Zeuslock ab)

Ihr SIEM ruft diesen Endpunkt regelmäßig auf und holt neue Ereignisse.

Endpunkt

GET https://api.zeuslock.ai/api/v1/siem/events

Authentifizierung — übergeben Sie Ihren Schlüssel in einem der Header:

Authorization: Bearer YOUR_API_KEY

X-API-Key: YOUR_API_KEY

Query-Parameter (alle optional):

Antwort

{
  "events": [ /* OCSF-DLP-Ereignisse */ ],
  "next_cursor": "..."
}

Paginierung: rufen Sie weiter mit since=<next_cursor> auf, bis Sie aufgeholt haben. Ereignisse werden 90 Tage aufbewahrt.

Beispiel

curl -H "X-API-Key: YOUR_API_KEY" \
  "https://api.zeuslock.ai/api/v1/siem/events?severity=high&limit=200"

Variante B — Push-Integrationen (Zeuslock leitet an Ihr SIEM weiter)

Klicken Sie auf der Seite SIEM unter Push-Integrationen auf SIEM hinzufügen, wählen Sie Ihre Plattform — Splunk HEC, Microsoft Sentinel oder Elastic Bulk API —, geben Sie deren Endpunkt und Zugangsdaten ein und speichern Sie. Jede Integration zeigt Name, SIEM-Typ, Endpunkt und Status, mit den Aktionen Deaktivieren / Bearbeiten / Löschen. Zeuslock leitet die gleichen OCSF-Ereignisse weiter, die die Pull-API liefert.

Verwenden Sie die API-URL, die in Ihrem Dashboard angezeigt wird, falls sie abweicht (zum Beispiel eine Staging-Umgebung).