Especialista em Resposta a Incidentes de Segurança da Informação (CSIRT)
Nava Technology for Business
Descrição da vaga
Descrição da Posição
Buscamos uma Especialista em CSIRT com perfil fortemente hands-on, responsável por atuar
diretamente na análise de alertas, threat hunting contínuo, investigação técnica e identificação
prática de gaps de segurança, transformando achados operacionais em melhorias concretas de
detecção, resposta e proteção.
O foco da posição é operar, investigar, caçar ameaças e ajustar o ambiente, utilizando ferramentas
de segurança no dia a dia, com visão crítica sobre o que não está sendo detectado, onde os
controles falham e como evoluir a defesa a partir da operação real.
Principais Responsabilidades
Análise Hands-on de Alertas & Incidentes
• Analisar alertas de SIEM, EDR/XDR, NDR, Cloud e Identity em profundidade, indo além da
triagem básica.
• Investigar comportamentos suspeitos diretamente em logs, endpoints, identidade e rede.
• Realizar pivoting técnico entre múltiplas fontes de dados para confirmar ou descartar
atividade maliciosa.
• Atuar na investigação de incidentes de baixa, média e alta complexidade, com foco técnico.
Threat Hunting Contínuo
• Executar threat hunting hands-on, baseado em:
o Hipóteses de ataque
o TTPs do MITRE ATT&CK
o Análise de alertas recorrentes e ruído operacional
• Identificar:
o Falsos negativos
o Detecções inexistentes ou ineficazes
o Abusos de identidade, credenciais e permissões
• Utilizar queries, scripts e ferramentas para buscar atividades anômalas que não geraram
alertas.
Identificação Prática de Gaps
• Identificar gaps reais de segurança a partir da operação diária, como:
o Falta de visibilidade
o Logs ausentes ou mal configurados
o Regras de detecção fracas ou genéricas
o Controles que não funcionam na prática
• Documentar gaps com evidência técnica, exemplos reais e impacto potencial.
• Priorizar gaps com base em explorabilidade e risco técnico.
Evolução Técnica de Detecção e Resposta
• Criar, ajustar e otimizar:
o Regras de detecção
o Queries de SIEM
o Alertas de EDR/XDR
o Lógicas de correlação
• Transformar achados de hunting e incidentes em:
o Novas detecções
o Ajustes de playbooks
o Melhoria de tempos de resposta
• Testar e validar detecções contra cenários reais de ataque.
CSIRT & Operação Avançada
• Atuar como referência técnica na operação do CSIRT.
• Apoiar exercícios práticos (purple team, simulações técnicas).
• Produzir relatórios técnicos objetivos, focados em achados, gaps e ações corretivas.
Trabalhar em conjunto com SOC, Cloud, Infra e IAM para correção técnica dos problemas
identificados.
Requisitos Técnicos Obrigatórios
• Experiência prática em CSIRT, SOC Nível 2/3 ou Threat Hunting.
• Forte atuação hands-on em investigação técnica e análise de alertas.
Domínio de:
o SIEM (Splunk, Sentinel, QRadar, Elastic)
o EDR/XDR (Microsoft Defender, CrowdStrike, SentinelOne)
o MITRE ATT&CK aplicado à prática
• Capacidade de escrever e ajustar queries complexas (KQL, SPL, Lucene, etc.).
• Experiência com análise de:
o Logs de autenticação e identidade
o Processos e artefatos de endpoint
o Atividade suspeita em cloud
• Conhecimento sólido em NIST 800-61 e fluxo operacional de CSIRT.
Requisitos Desejáveis
• Experiência com:
o Threat Hunting estruturado
o Purple Team
o DFIR básico
• Conhecimento em:
o Cloud Security (Azure, AWS ou GCP)
o IAM e Identity Threat Detection
• Automação e scripting (Python, PowerShell, KQL avançado).
• Certificações como:
o GCIH, GCED, GCIA
o Certificações de segurança Microsoft ou Cloud
Competências Comportamentais
• Perfil técnico, curioso e investigativo
• Capacidade de ir "até o fim" na análise
• Atenção a detalhes e pensamento crítico
• Comunicação objetiva, baseada em evidências
• Autonomia para investigar e propor melhorias práticas
• Colaboração com times técnicos
Diferenciais da Posição
• Papel 100% técnico e operacional, com impacto direto na segurança
• Autonomia para caçar ameaças e melhorar detecção
• Exposição a ambientes complexos e cenários reais de ataque
• Influência direta na evolução prática do CSIRT
