CYBERSECURITY PORTFOLIO

Daniel Nascimento

Detection engineering para ambientes híbridos IT/OT

Detection engineering em Wazuh, vuln mgmt com DefectDojo, pipeline SOAR em ambiente single-tenant enterprise. Defensor com mentalidade ofensiva.

Falar comigo Ler o caso técnico
// São Paulo, BR disponível Q2 2026 daniel_sec_jobs@outlook.com
daniel@soc — zsh — 80×24
daniel@soc:~$ whoami
Daniel Nascimento · Cybersecurity Analyst Pleno
São Paulo · BR · remote · hybrid · relocation
daniel@soc:~$

// ABOUT

Sobre

Cybersecurity Analyst Pleno na eSecurity desde fev/2023, alocado em cliente único enterprise (Cliente A) operando como blue team de fato. Atuação cobre detection engineering em Wazuh com cluster sizing dimensionado por telemetria real, programa de gestão de vulnerabilidades end-to-end via DefectDojo (escopo crescente de aplicações web), endpoint security em CrowdStrike e Microsoft Defender, pipeline SOAR em produção (TheHive + Cortex + n8n) e hardening AD recorrente. Diferencial: continuidade arquitetural cross-período — cada decisão técnica conecta às anteriores, formando arcos de evolução de 2-3 anos em vez de mudanças isoladas.

Stack que opero com profundidade: Wazuh, CrowdStrike (CQL, regras IOA custom), Microsoft Defender, MISP, DefectDojo + Acunetix/Nessus/ProjectDiscovery/Nuclei, F5 BigIP (iRules TCL), ModSecurity — incluindo o ModSec Sync próprio em Flask/Python na porta 10080, em produção sincronizando regras WAF cross-distro — pfSense/Suricata, BloodHound/PingCastle/Purple Knight, TheHive/Cortex/n8n, Microsoft Purview. Em desenvolvimento honesto: Python avançado além de scripting operacional, tuning fino de cluster OpenSearch. Setup pessoal: homelab paralelo em Oracle Cloud (Docker + Traefik + Cloudflare tunnels + AdGuard) e Notion como hub de documentação — costume reconhecido publicamente pelo sênior do time como "mantenedor da documentação da stack".

EXPERIENCE

Trajetória

  1. presente

    Cybersecurity Analyst Pleno · eSecurity

    Blue team em cliente único enterprise (Cliente A), com ownership compartilhada da stack de SOC — detection engineering em Wazuh, programa de gestão de vulnerabilidades end-to-end, pipeline SOAR multi-engine e detection rules custom em CrowdStrike Falcon. Reconhecido pelo sênior do time como mantenedor da documentação da stack.

    • Wazuh SIEM — 3 anos de evolução do cluster: arquitetei a transição de manager standalone com regras stock para deployment multi-node dimensionado por capacity planning baseado em telemetria real do ambiente. Escrevi 100+ regras de detecção customizadas — XSS via PCRE2, tuning de AD bruteforce, módulo Vulnerability Detection com inventário em escala — e propus a estratégia de centralização substituindo o NG-SIEM atual.
    • Programa de gestão de vulnerabilidades end-to-end como um dos responsáveis: desenhei o pipeline DefectDojo com ingestão multi-scanner (Nessus + Acunetix + ProjectDiscovery), automação de tradução PT-BR de findings em massa via Google Cloud Translate, dashboard de priorização por severidade × produto × região e SLA de remediação cobrindo escopo crescente de aplicações web. Programa estendido para Attack Surface Management após comparativo Censys × ProjectDiscovery (86 vs. 159 domínios mapeados) — negociações com vendor reduziram custo total em ~US$30k em 12 meses.
    • Pipeline SOAR (TheHive + Cortex + n8n) em produção: orquestrei containment via 3 responders integrados — CrowdStrike Falcon, Microsoft Defender, F5 BigIP — com fluxo dual auto/manual preservando aprovação humana em bloqueios de rede. MTTD de bloqueio de IOC saiu de ~30min manual para <2min automatizado; NOC ganhou self-service de criação de cases via TheHive sem precisar escalar a analista.
    • Detection engineering em CrowdStrike Falcon: liderei POC comparativa SentinelOne × CrowdStrike em 11 semanas com 10 cenários estruturados a partir de incidentes reais (Win + Linux). Entreguei 5 regras IOA custom em produção (modo detect/kill, validação de kill /usr/bin/dash) que viraram capability permanente do programa de detecção mesmo após decisão de manter CrowdStrike.
    • Componentes próprios e hardening em escala: ModSec Sync em Flask/Python na porta 10080, sincronizando regras WAF cross-distro com versionamento via git e responder Cortex para bloqueio em camada 7. Scripts CIS L1 publicados em 10 plataformas (6 Linux + 4 Windows: RHEL 7/8, Debian 11, Ubuntu 18/20/22, Windows 10/Server 2012R2/2016/2019), adotados pela equipe de Redes como padrão corporativo de hardening.
    • Liderança técnica em incident response: ponto focal noturno em casos de credencial comprometida e lateral movement — caso de Linux privilege escalation (91 emails extraídos, 835 contas validadas via API SocRadar), bypass via utilman.exe, MFA Entra ID em larga escala, coleta forense pós-RDS, EdgeWebView2/DNS-poisoning. Reconhecido publicamente pelo sênior do time como "mantenedor da documentação da stack" e designado ponto de escalonamento técnico para o júnior em plantão.
    WazuhCrowdStrike FalconMicrosoft DefenderTheHiveCortexn8nDefectDojoProjectDiscoveryF5 BigIPModSecurityMITRE ATT&CK

  2. Cybersecurity Analyst · eSecurity

    Primeira alocação em ofensiva-para-defesa na eSecurity. Pentest interno, password spraying federado respeitando políticas de lockout, enumeração SMB/AD em escala, hardening Active Directory com Lithnet/OpenPasswordFilter e identificação de caminho de escalada via GPO.

    • Pentest interno respeitando políticas de lockout: wordlists derivadas de padrões corporativos típicos, captura de credenciais válidas via password spraying federado, identificação do endpoint ADFS e exploração do fluxo wsignin1.0. Entregáveis formais em PDF/DOCX para o cliente.
    • Hardening Active Directory: configurei Lithnet AD Password Protection + OpenPasswordFilter para política de senha proativa, validei em laboratório o bloqueio de senhas comprometidas, executei SharpHound + Purple Knight + PingCastle no AD do cliente e produzi plano de remediação priorizado.
    • Enumeração SMB/AD em escala: verificação de null sessions e shares ADMIN$/C$/IPC$ em ~4.274 hosts no ciclo de avaliação, correlação com findings Nessus, enumeração de contas com PreauthNotRequired via PowerView.
    • Identifiquei caminho de escalada de privilégio via grupo com permissão de escrita em GPO linkada a OU abrangente (excluindo apenas DCs e Domain/Enterprise Admins) — análise compartilhada com cliente como base para remediação no AD.
    • Entregáveis recorrentes e exposição honesta a OT/SCADA: produzi relatórios de pentest, planos de hardening e documentação de remediação durante o ciclo do cliente, com Nessus containerizado em Docker para scans recorrentes. Identifiquei RCE em servidor industrial via serviço desatualizado, validei exploitability em laboratório e contribuí com plano de remediação. Sem trabalho com protocolos industriais ou arquitetura OT em larga escala.
    PingCastleBloodHoundPurple KnightPowerViewLithnetOpenPasswordFilterNessusADFS

  3. Data Center Technician · AWS (Amazon Web Services)

    Estágio de 12 meses em data center AWS — primeira exposição formal a operação de infraestrutura em escala hyperscaler. Hardware networking, troubleshooting hands-on, change management estrito sob runbooks rigorosos. Disciplina operacional que sustenta hoje o trabalho de detection engineering.

    • Operação de infraestrutura física em escala hyperscaler: trabalho de bancada em rack e network gear em data center AWS, sob janelas de mudança aprovadas e procedimentos formais de rollback — 12 meses de exposição contínua a runbooks rigorosos e blast-radius awareness.
    • Primeira exposição formal a infraestrutura cloud-scale: capacity planning, redundância elétrica e de refrigeração, fluxo de manutenção em produção em ambiente multi-tenant — fundação operacional que sustenta hoje conversas técnicas com SREs e capacity planning de SOC.
    • Disciplina operacional herdada do hyperscaler: change discipline, runbook obsession e postura "production-first" — princípios aplicados depois em detection engineering (jamais rodar regra nova em produção sem validação prévia em lab) e em arquitetura SIEM (capacity-justified vs. capacity-guessed).

SKILLS

Stack técnica

SIEM & Detection

WazuhSigmaOpenSearchGraylogregex/decoders customMITRE ATT&CKFilebeat

EDR

CrowdStrike FalconCQL · RTR · IOA customSentinelOne (POC lead)Microsoft Defender for EndpointSysmon

Vulnerability Management

DefectDojoAcunetixNessusProjectDiscoveryNuclei

Active Directory

BloodHoundPingCastlePurple KnightPowerViewImpacketRubeusLithnetOpenPasswordFilterADFS

Network & WAF

CheckPointF5 BigIP (iRules TCL)iControl RESTModSecurityModSec Sync (Flask/Python)pfSenseSuricataZeek

Cloud & Identity

AWS (CloudTrail · IAM · S3)Azure AD/EntraMicrosoft 365Microsoft PurviewMicrosoft Graph API

SOAR & Pipeline

TheHiveCortex (Responders)n8nDiscord/Teams webhooksNGINX Proxy Manager

Threat Intelligence

MISP (5 feeds)CrowdStrike CTICISA KEVCVSSEPSSSocRadar

Hardening & Compliance

CIS Benchmarks L1RHEL 7/8Debian 11Ubuntu 18/20/22Windows 10/Server 2012R2/2016/2019LynisAtomic Red Team

Scripting & Automation

PythonFlaskBashPowerShellGitREST APIs (CrowdStrike · Graph · BigIP iControl · SocRadar)

HOME LAB · destaque

SOC Home Lab

SOC funcional pessoal em VMs Proxmox (8 VMs · 32 GB RAM, ongoing desde 03/2023). Wazuh + OpenSearch ingerindo eventos de Windows AD, Linux, pfSense e Suricata. Regras Sigma versionadas em Git, mapeadas a MITRE ATT&CK, testadas pré-merge em CI. Research environment isolado — métricas abaixo são lab data, não produção corporativa.

Lab metrics · last 30 days · research environment
ARCHITECTURE deep dive
pfSense Suricata IDS Wazuh manager
DC01-LAB (AD) Sysmon + WEF
WKSTN-01..04 Wazuh agent
OpenSearch + Sigma rules alerts · dashboards · hunts

Sigma rules

52 *
+4 this month

Events/day

340K *
rolling 7d

MTTD

6m 48s *
−22% vs baseline

TTPs covered

37 *
MITRE ATT&CK
NOTABLE DETECTIONS
  • T1558.003 Kerberoasting via TGS 0x17 high
  • T1003.006 DCSync replication rights abuse critical
  • T1558.004 AS-REP Roasting (no preauth) high
  • T1059.001 PowerShell encoded command medium
  • T1110.001 SSH brute force via pfSense medium

CERTIFICATIONS

Credenciais

CompTIA Security+

CompTIA · jul 2023

eJPT

INE Security · set 2022

ISC2 CC

ISC2 · set 2022

AD Exploitation

Sec4US · set 2022

AWS Cloud Practitioner

AWS · abr 2020

CCNA

Cisco · mar 2020

CONTACT

Falar sobre uma vaga sênior.

Detection Engineering, Threat Hunting ou Security Operations. Remoto, híbrido em SP ou relocação internacional.

No primeiro mês entrego: análise honesta da stack de detecção atual, mapa de gaps contra MITRE ATT&CK e 3–5 regras Sigma priorizadas por risco do negócio.

email

daniel_sec_jobs@outlook.com

linkedin

in/daniel-security

github

swaggyd1

agenda 30 min

calendly.com/daniel-sec-jobs

chave PGP

RSA-4096 · expira 2028-04-22