Para isso, basta utilizar a ferramenta FindSessions para exportar os dados da base do DirectAudit. Mais informações no  DA Admin Guide, a partir da página 109. Por exemplo:

C:\Program Files\Centrify\DirectManage Audit\AuditAnalyzer>FindSessions.exe /installation="Centrify-Img-Demo" /aql="1 type= shellui, wingui; orderby= machine ASC; time is in_past 30 day; command= \"dzdo\";" /export="SessionList" /format="csv" /path=C:\temp"

os parâmetros são:

/Installation: o nome da instalação do DirectAudit, criada no AD (pode ser verificada na console Audit Manager ou Audit Analyzer);

/aql: query com as sessões a serem exportadas;

/export: o formato dos dados gerados;

/format: o formato dos arquivos gerados;

/path: o caminho onde os arquivos serão gerados.

Para facilitar a geração da query, crie a query no Audit Analyzer e exporte as definições em formato XMLS como abaixo e utilize a query no parâmetro aql do comando FindSessions:

Feito isso, apontar essa pasta na solução de SIEM que irá ler os arquivos e processar os eventos encontrados neles.