1. Conhecimentos Técnicos Obrigatórios — Ferramentas de Segurança e
Detecção
1.1 Plataformas de Segurança de Identidade e SIEM
• CrowdStrike Falcon Identity Protection — detecção de ameaças baseadas em identidade, análise de
comportamento (UEBA), proteção de AD/Entra ID
• Google SecOps (Chronicle SIEM + SOAR) — ingestão de logs, criação de regras YARA-L, dashboards de
investigação, resposta automatizada via playbooks
• Desejável: Trend Vision One com foco no módulo de identidade
1.2 Identidade e Diretórios
• Active Directory e Azure Active Directory (Entra ID) — estrutura, hardening, attack paths (Pass-the-Hash,
Kerberoasting, DCSync, Golden Ticket)
• Protocolos de autenticação: Kerberos, NTLM, SAML, OAuth 2.0, OIDC
• Privileged Access Management (PAM) — conceitos e operação (CyberArk, BeyondTrust ou similar)
• MFA, Conditional Access, Zero Trust aplicado a identidade
1.3 Detecção e Resposta
• Capacidade de criar e tunar regras de detecção (correlação de eventos, redução de falsos positivos)
• Conhecimento de TTPs do MITRE ATT&CK — especialmente táticas de Credential Access e Lateral Movement
• Análise de logs: eventos de autenticação (4624, 4625, 4768, 4769, 4776 no Windows), logs de DC, logs de
cloud IdP
• Threat Hunting orientado a identidade2. Segurança de Identidade em Cloud
2.1 Conhecimentos Obrigatórios
• IAM nativo em nuvem — domínio de pelo menos um dos provedores: Azure IAM (Entra ID, Conditional Access,
PIM), AWS IAM (Identity Center, SCPs, Access Analyzer) ou GCP IAM (Organization Policies, Workload Identity)
• Identidades não-humanas (NHI) — governança de service principals, service accounts, managed identities, API
keys e workload identities em ambientes cloud e híbridos; compreensão dos riscos de privilege sprawl em
pipelines CI/CD e IaC
• Federação e SSO em multi-cloud — integração entre IdP corporativo (Entra ID / AD FS) e provedores cloud via
SAML 2.0, OIDC e SCIM; experiência com configuração de trust relationships e cross-tenant access
• Cloud PAM — conceitos de Just-In-Time (JIT) access, Privileged Identity Management (Azure AD PIM), elevação
temporária de privilégios e governança de roles com escopo mínimo
2.2 Desejável
• Infrastructure-as-Code (Terraform, Bicep, CloudFormation) no contexto de hardening de identidade e políticas
de acesso
• CSPM/CIEM (Cloud Infrastructure Entitlement Management) — ex.: CrowdStrike Falcon Cloud Security,
Ermetic ou similar
• Vivência em ambientes multi-cloud com estratégia de identidade centralizada
2.3 Certificações Valorizadas (Cloud)
|
Prioritárias |
Complementares |
|
Microsoft SC-300 (Identity and Access Administrator) AWS Certified Security — Specialty |
|
|
Google Cloud Professional Cloud Security Engineer |
Azure Security Engineer (AZ-500) |
|
CrowdStrike Falcon Cloud Security Specialist |
3. Inteligência Artificial Aplicada à Segurança de Identidade
3.1 Conhecimentos Obrigatórios
• UEBA (User and Entity Behavior Analytics) — configuração, tuning e operação de modelos comportamentais
em plataformas como CrowdStrike Falcon Identity Protection e Google SecOps para detecção de anomalias em
autenticação e acesso privilegiado
• Detecção de ameaças assistida por IA/ML — compreensão de como modelos de machine learning são
aplicados à correlação de eventos de identidade, scoring de risco adaptativo e redução de falsos positivos em
alertas de ITDR
• Risk-Based Authentication e Adaptive MFA — entendimento de como motores de risco baseados em IA
ajustam dinamicamente requisitos de autenticação (step-up MFA, bloqueio, desafio) com base em contexto
comportamental, geolocalização, device fingerprint e postura do dispositivo3.2 Desejável
• Construção e interpretação de playbooks de SOAR (Google SecOps SOAR) que incorporem decisões baseadas
em scoring de risco de identidade e automação de resposta
• AI-powered threat detection em PAM — análise comportamental de sessões privilegiadas (ex.: CyberArk PTA),
detecção de uso anômalo de credenciais em cofre
• IA generativa aplicada a SecOps — uso de assistentes de IA (ex.: Charlotte AI da CrowdStrike, Gemini no
Google SecOps) para triagem acelerada de incidentes e investigação de identity-based attacks
• Riscos de IA para identidade — proteção contra prompt injection em fluxos de autenticação, shadow AI e
governança de identidades de agentes autônomos (agentic AI identity)
4. Credenciais Privilegiadas — PAM Expandido
4.1 Conhecimentos Obrigatórios
• CyberArk avançado — domínio dos componentes Vault, PSM, CPM, PTA, Conjur (secrets management),
CCP/AAM; experiência com rotação automática de credenciais, recording de sessões e integração com SIEM
• Secrets Management — proteção de credenciais embarcadas (hardcoded) em aplicações, pipelines DevOps e
workloads cloud; experiência com CyberArk Conjur, HashiCorp Vault ou equivalente
• Governança de contas privilegiadas — identificação e saneamento de contas órfãs, excessivas ou sem
justificativa; segregação de funções (SoD) em contexto PAM; controle de elevação de privilégio e
rastreabilidade completa
• PAM para workloads e DevOps — proteção de credenciais em pipelines CI/CD, containers (Kubernetes secrets)
e integração com ferramentas como Jenkins, Ansible, Terraform
• Endpoint Privilege Management (EPM) — conceitos e operação de soluções de remoção de privilégios locais
(CyberArk EPM, BeyondTrust ou similar)
4.2 Experiência Comprovada em PAM
• Participação em projetos de onboarding massivo de contas privilegiadas em cofre (rollout PAM)
• Vivência com integração PAM ↔ IGA (CyberArk ↔ RSA IGL / SailPoint) para governança automatizada de
acessos privilegiados
• Atuação em resposta a incidentes envolvendo credenciais privilegiadas — comprometimento de service
accounts, abuso de sessões PSM, exfiltração via credenciais de aplicação
4.3 Certificações Valorizadas (PAM)
Prioritárias Complementares
CyberArk Certified Delivery Engineer (CDE) CyberArk Certified Sentry (básico)
CyberArk Defender — PAM CyberArk Trustee — Secrets Management5. CIAM — Customer Identity and Access Management (Desejável / Visão de
Futuro)
5.1 Conhecimentos Desejáveis
• Conceitos fundamentais de CIAM — diferenciação entre workforce IAM e customer IAM; compreensão de que
CIAM prioriza UX/conversão sem comprometer segurança; escalabilidade para milhões de identidades
externas
• Plataformas de CIAM — familiaridade com pelo menos uma: Microsoft Entra External ID (Azure AD B2C),
Auth0, Ping Identity, ForgeRock, Okta CIC (Customer Identity Cloud) ou Akamai Identity Cloud
• Fluxos de autenticação para clientes — OAuth 2.1, OIDC em profundidade, PKCE, social login, progressive
profiling, consent management e recuperação segura de contas
• Proteção contra ameaças a identidades de clientes — defesa contra credential stuffing, account takeover
(ATO), bot mitigation, device fingerprinting, rate limiting e risk-based MFA adaptativo
• Autenticação moderna — experiência ou interesse em FIDO2/WebAuthn (passkeys), autenticação
passwordless e biometria para fluxos de clientes
• Privacidade e regulação — compreensão de LGPD, GDPR e seus impactos em soluções de identidade de
clientes (consentimento, minimização de dados, direito ao esquecimento, portabilidade)
5.2 Certificações Valorizadas (CIAM)
Prioritárias Complementares
IDPro CIDPRO (Certified Identity Professional) Auth0 Certified Developer / Architect
Microsoft SC-300 (Identity and Access Administrator) Okta Certified Professional
6. Experiência Comprovada
6.1 Obrigatória
• Experiência comprovada com CrowdStrike (qualquer módulo Falcon — identidade é diferencial crítico)
• Experiência com SIEM (Chronicle, Sentinel, Splunk ou similar) — Chronicle/Google SecOps é o diferencial
• Atuação em ambientes corporativos de médio/grande porte
• Participação em resposta a incidentes reais envolvendo comprometimento de identidade (ransomware, BEC,
movimentação lateral)
• Experiência sólida de 5 a 8 anos em Segurança da Informação, com atuação comprovada em gestão de
credenciais privilegiadas e proteção contra ameaças à identidade
• Vivência prática com soluções de cofre de senhas (PAM) e Identity Threat Detection and Response (ITDR)
6.2 Desejável
• Experiência com projetos de migração ou implantação de plataformas de IGA (SailPoint, RSA IGL ou similar)
• Atuação em ambientes multi-cloud com governança de identidades centralizada• Participação em projetos de onboarding massivo de contas privilegiadas em cofre
• Vivência com integração PAM ↔ IGA para governança automatizada
• Experiência em interlocução com áreas de negócio, GRC e auditoria
• Exposição a cenários de CIAM ou identidade de clientes em portais de saúde, apps ou serviços digitais
7. Certificações — Visão Consolidada
7.1 Prioritárias
• CrowdStrike CCFA / CCFH / CCFR (Falcon Administrator, Hunter, Responder)
• Google Cloud Security Engineer ou Chronicle SIEM Associate
• Microsoft SC-300 (Identity and Access Administrator)
• CyberArk Certified Delivery Engineer (CDE) ou Defender — PAM
7.2 Complementares Relevantes
• EC-Council CEH, GIAC GCIH, GCIA
• CompTIA Security+ (piso mínimo esperado)
• CISSP ou CISM (sinaliza maturidade — mais relevante para sênior)
• AWS Certified Security — Specialty
• Azure Security Engineer (AZ-500)
• IDPro CIDPRO (Certified Identity Professional)
• CyberArk Trustee — Secrets Management
8. Formação e Requisitos Gerais
8.1 Formação Acadêmica
• Ensino superior completo em Tecnologia da Informação, Engenharia da Computação, Sistemas de Informação
ou áreas correlatas
• Desejável pós-graduação ou especialização em Segurança da Informação ou Governança de TI
8.2 Habilidades Comportamentais
• Liderança técnica e capacidade de orientar equipes Jr/Pl
• Comunicação clara e objetiva com áreas técnicas e de negócio
• Capacidade de traduzir riscos técnicos em linguagem acessível para gestores
• Organização, atenção a detalhes e postura ética no manuseio de credenciais
• Proatividade, senso crítico e foco em melhoria contínua
• Capacidade de atuar sob pressão e em ambientes regulados9. Mapa de Competências — Resumo
|
Bloco |
Classificação |
Ferramentas / Temas-Chave |
|
Ferramentas de Detecção |
Obrigatório |
CrowdStrike Falcon Identity, Google SecOps (Chronicle), Trend Vision One |
|
Identidade e Diretórios |
Obrigatório |
AD, Entra ID, Kerberos, NTLM, SAML, OAuth, OIDC, MFA, Conditional Access |
|
Detecção e Resposta |
Obrigatório |
MITRE ATT&CK, logs de autenticação, Threat Hunting, correlação de eventos |
|
Segurança de Identidade em Cloud |
Obrigatório |
Azure IAM/PIM, AWS IAM, GCP IAM, NHI, Cloud PAM, Federação multi-cloud |
|
IA Aplicada a Identidade |
Obrigatório |
UEBA, Risk-Based Auth, ML para ITDR, Adaptive MFA |
|
Credenciais Privilegiadas (PAM) |
Obrigatório |
CyberArk (Vault, PSM, CPM, PTA, Conjur), Secrets Mgmt, EPM, Governança PAM |
|
CIAM (Customer Identity) |
Desejável |
Entra External ID, Auth0, FIDO2, ATO defense, LGPD/GDPR, progressive profiling |