Transmettre les événements DLP à votre SIEM

Zeuslock peut livrer chaque détection DLP à votre SIEM au format OCSF (Open Cybersecurity Schema Framework), pour une intégration propre dans Splunk, Microsoft Sentinel ou Elastic. Deux méthodes existent — Pull (votre SIEM interroge Zeuslock) et Push (Zeuslock transmet à votre SIEM). Ouvrez SIEM dans la barre latérale — « Transmettre ou récupérer les événements DLP au format OCSF ».

D'abord, obtenez une clé API

Sur la page Clés API, créez une clé, nommez-la pour votre SIEM et copiez la clé complète lorsqu'elle s'affiche. Vous l'ajouterez à votre client SIEM. (Voir Générer et gérer les clés API.)

Option A — API Pull (votre SIEM interroge Zeuslock)

Votre SIEM appelle cet endpoint régulièrement et récupère les nouveaux événements.

Endpoint

GET https://api.zeuslock.ai/api/v1/siem/events

Authentification — passez votre clé via l'un de ces en-têtes :

Authorization: Bearer YOUR_API_KEY

X-API-Key: YOUR_API_KEY

Paramètres de requête (tous facultatifs) :

Réponse

{
  "events": [ /* événements DLP OCSF */ ],
  "next_cursor": "..."
}

Pagination : continuez d'appeler avec since=<next_cursor> jusqu'à être à jour. Les événements sont conservés 90 jours.

Exemple

curl -H "X-API-Key: YOUR_API_KEY" \
  "https://api.zeuslock.ai/api/v1/siem/events?severity=high&limit=200"

Option B — Intégrations Push (Zeuslock transmet à votre SIEM)

Sur la page SIEM, sous Intégrations Push, cliquez sur Ajouter un SIEM, choisissez votre plateforme — Splunk HEC, Microsoft Sentinel ou Elastic Bulk API — saisissez son endpoint et ses identifiants, puis enregistrez. Chaque intégration affiche son Nom, son type de SIEM, son Endpoint et son Statut, avec les actions Désactiver / Modifier / Supprimer. Zeuslock transmet les mêmes événements OCSF que ceux servis par l'API Pull.

Utilisez l'URL d'API affichée sur votre tableau de bord si elle diffère (par exemple un environnement de préproduction).