Detection engineering × AI security
Wiston Lestin
Senior Detection & Response Specialist Spécialiste principal en détection et réponse
Detection & response specialist focused on Detection-as-Code, threat detection & response, and AI-driven security automation across enterprise and cloud environments. Strong with the Microsoft Security stack (Sentinel, Defender XDR) and automation that accelerates detection and response. Spécialiste en détection et réponse, axé sur la détection programmable (Detection-as-Code), la détection et réponse aux menaces, et automatisation de la sécurité par IA dans les environnements d’entreprise et infonuagiques. Maîtrise de la pile Microsoft Security (Sentinel, Defender XDR) et d’automatisations qui accélèrent la détection et la réponse.
$ whoami senior detection & response · detection-as-code $ sigma-backtest --dataset otrf/empire [✓] precision 1.00 · recall 0.50 → 1.00 normalized $ jailbreak-bench --corpus garak --families 4 [✓] ensemble recall 70.4% · false alarms 0 $
AboutÀ propos
I design detections as code — version-controlled, pipeline-tested and validated against real adversary behavior. My work spans the Microsoft Security stack (Sentinel, Defender XDR, Defender for Office 365, Defender for Cloud, Purview DLP & Insider Risk), cross-platform detection (KQL ↔ SPL), purple-team validation (APT29/APT41) and AI-driven security automation. Backed by 15+ years of IT infrastructure, I also design secure network architectures and review application code for vulnerabilities. Je conçois les détections comme du code — versionnées, testées en pipelines et validées contre le comportement réel des attaquants. Mon travail couvre la pile Microsoft Security (Sentinel, Defender XDR, Defender for Office 365, Defender for Cloud, Purview DLP & Insider Risk), la détection multiplateforme (KQL ↔ SPL), la validation par équipe violette (APT29/APT41) et l’automatisation de la sécurité par IA. Fort de plus de 15 ans en infrastructure TI, je conçois aussi des architectures réseau sécurisées et révise le code applicatif à la recherche de vulnérabilités.
SkillsCompétences
Detection-as-Code & SIEMDétection programmable & GIES (SIEM)
AI & AutomationIA & automatisation
Microsoft Security & Data ProtectionMicrosoft Security & protection des données
Cloud & InfrastructureInfonuagique & infrastructure
Threat Hunting & Purple TeamChasse aux menaces & équipe violette
ExperienceExpérience
Senior Security Analyst – Detection & ResponseAnalyste principal en sécurité – Détection et réponse
TC Transcontinental · Jan 2023 – PresentTC Transcontinental · Janv. 2023 – Présent- Built DefenderHunter (Detection-as-Code) on 7,000+ endpoints, integrated with Defender XDR & Sentinel — 75% faster investigations, 60% MTTD improvement.Conception de DefenderHunter (Detection-as-Code) sur plus de 7 000 postes, intégré à Defender XDR et Sentinel — investigations 75 % plus rapides, MTTD amélioré de 60 %.
- Authored 50+ MITRE ATT&CK-mapped detections; raised credential-theft coverage (Kerberoasting, DCSync) from 40% to 95%.Rédaction de plus de 50 détections alignées sur MITRE ATT&CK ; couverture du vol d’identifiants (Kerberoasting, DCSync) portée de 40 % à 95 %.
- Pioneered cross-platform detection translation (KQL ↔ SPL) for vendor-agnostic coverage; cut false positives 50% via behavioral correlation.Mise au point de la traduction de détections multiplateforme (KQL ↔ SPL) pour une couverture indépendante du fournisseur ; faux positifs réduits de 50 % par corrélation comportementale.
- Operate Microsoft Purview DLP & Insider Risk, Defender for Office 365, and the M365 security tenant (Defender for Cloud & Cloud Apps).Exploitation de Microsoft Purview DLP et Insider Risk, Defender for Office 365 et du locataire de sécurité M365 (Defender for Cloud et Cloud Apps).
- Design secure network architecture & segmentation, perform application-security code reviews, and run purple-team emulation (APT29/APT41).Conception d’architectures réseau sécurisées et de segmentation, revues de code de sécurité applicative, et émulation en équipe violette (APT29/APT41).
IT Security AnalystAnalyste en sécurité TI
Desjardins · Apr 2022 – Nov 2022Desjardins · Avr. 2022 – Nov. 2022- Developed financial threat-detection rules spanning fraud, phishing, and compliance scenarios.Développement de règles de détection des menaces financières couvrant la fraude, l’hameçonnage et la conformité.
- Reduced false positives by 50% through automated alert-triage workflows.Réduction des faux positifs de 50 % grâce à des flux de tri d’alertes automatisés.
- Delivered SIEM use cases and advanced correlation logic for enterprise clients.Livraison de cas d’usage SIEM et de logique de corrélation avancée pour des clients d’entreprise.
- Created automated monitoring cases to optimize alerting in a production SIEM.Création de cas de surveillance automatisés pour optimiser les alertes dans un SIEM en production.
- Strengthened PCI-DSS compliance through enhanced monitoring and broader log coverage.Renforcement de la conformité PCI-DSS par une surveillance accrue et une couverture de journaux élargie.
Information Security SpecialistSpécialiste en sécurité de l’information
Hitachi Systems Security · Oct 2021 – Apr 2022Hitachi Systems Security · Oct. 2021 – Avr. 2022- Delivered cybersecurity support to enterprise clients across multiple industries.Soutien en cybersécurité à des clients d’entreprise de divers secteurs.
- Managed EDR/NDR solutions and conducted vulnerability assessments.Gestion de solutions EDR/NDR et réalisation d’évaluations de vulnérabilités.
- Performed threat-hunting operations and in-depth security investigations.Réalisation d’opérations de chasse aux menaces et d’investigations de sécurité approfondies.
- Created and optimized detection rules for emerging threat patterns.Création et optimisation de règles de détection pour les schémas de menaces émergents.
- Advised clients on remediation strategies and security best practices.Conseil aux clients sur les stratégies de remédiation et les bonnes pratiques de sécurité.
Network & Infrastructure AdministratorAdministrateur réseau et infrastructure
Various Organizations · 2006 – 2021Diverses organisations · 2006 – 2021- 15+ years building and securing enterprise networks, Active Directory, Windows/Linux and virtualization.Plus de 15 ans à bâtir et sécuriser des réseaux d’entreprise, Active Directory, Windows/Linux et la virtualisation.
- Deep system-level foundation that underpins current detection and automation work.Solide base au niveau système qui soutient le travail actuel de détection et d’automatisation.
Selected ProjectsProjets sélectionnés
Open-Source ToolsOutils open source
Detection Rule Backtester
Backtests detection rules (Sigma / ATR / KQL-style) against real logs and AI-attack traces, reporting per-rule precision, recall and false-positive rate plus multi-rule ensemble confidence. Measured that keyword rules catch only ~9% of real LLM jailbreaks.Backteste des règles de détection (Sigma / ATR / type KQL) contre des journaux réels et des traces d’attaques IA, avec précision, rappel et taux de faux positifs par règle plus une confiance d’ensemble multi-règles. A mesuré que les règles par mots-clés n’attrapent qu’environ 9 % des vrais jailbreaks LLM.
Python · Sigma · garak · MITRE ATT&CK / ATLAS · MIT
DefenderHunter
Detection-as-Code threat-hunting framework for Microsoft Defender XDR & Sentinel — 22 MITRE-mapped ransomware query packs with automated IOC enrichment.Cadre de chasse aux menaces en Detection-as-Code pour Microsoft Defender XDR et Sentinel — 22 lots de requêtes rançongiciels alignés sur MITRE avec enrichissement automatisé des IOC.
PowerShell · KQL · Defender XDR · Sentinel · MIT
Sandbox Malware Analyzer
Disposable, automated malware-analysis lab on Windows Sandbox — multi-format detonation (EXE / doc / PDF / URL / email), behavioral capture, IOC extraction and HTML/JSON reporting.Laboratoire d’analyse de maliciels jetable et automatisé sur Windows Sandbox — détonation multiformat (EXE / doc / PDF / URL / courriel), capture comportementale, extraction d’IOC et rapports HTML/JSON.
PowerShell · Windows Sandbox · YARA · MIT
Network Share Enumeration System
Automated permissions analysis with CMDB sync and ServiceNow remediation workflows — 90% audit-time reduction.Analyse automatisée des permissions avec synchronisation CMDB et flux de remédiation ServiceNow — 90 % de temps d’audit en moins.
PowerShell · Active Directory · CMDB · ServiceNow
SecureOrbit PlatformPlateforme SecureOrbit
SecureOrbit EASM
External Attack Surface Management — continuous discovery and monitoring of internet-facing assets, with correlation and confidence scoring to prioritize real exposures.Gestion de la surface d’attaque externe (EASM) — découverte et surveillance continues des actifs exposés sur Internet, avec corrélation et score de confiance pour prioriser les expositions réelles.
Python · Docker · REST APIs · alerting
HORUS
Agentic threat-intelligence & attack-surface engine behind SecureOrbit EASM — automated collection, correlation and confidence scoring with multi-channel alerting and reporting.Moteur agentique de renseignement sur les menaces et de surface d’attaque derrière SecureOrbit EASM — collecte, corrélation et score de confiance automatisés, avec alertes et rapports multicanaux.
Python · Docker · agentic AI · n8n
CertWatch
TLS/SSL certificate-monitoring SaaS — expiry & misconfiguration alerts from an SSRF-hardened scanning engine, with multi-client tenancy and webhook-driven notifications. The admin console runs default-deny behind a Cloudflare Zero Trust (Access) edge, while the signature-verified payment webhook and public scan endpoint stay reachable.SaaS de surveillance de certificats TLS/SSL — alertes d’expiration et de mauvaise configuration via un moteur d’analyse durci contre le SSRF, avec multilocation et notifications par webhook. La console d’administration fonctionne en déni par défaut derrière une bordure Cloudflare Zero Trust (Access), tandis que le webhook de paiement vérifié par signature et le point d’analyse public restent accessibles.
FastAPI · Zero Trust / Cloudflare Access · SSRF-hardened scanner · Stripe · webhooks
AuditCloud360 (In Dev)(en dév.)
Automated Azure & AWS security audit with reporting and alerting.Audit de sécurité Azure et AWS automatisé, avec rapports et alertes.
Azure · AWS · Python · Terraform
SecureOrbit360 (In Dev)(en dév.)
SOC workflow automation integrating Logic Apps and n8n (isolation, enrichment, ticketing, notifications).Automatisation des flux SOC intégrant Logic Apps et n8n (isolation, enrichissement, billetterie, notifications).
Logic Apps · n8n · Defender XDR · Sentinel
CertificationsCertifications
Get in touchContact
Always glad to connect — feel free to reach out to discuss detection & response, AI-driven security automation, or potential collaboration. Toujours ravi d’échanger — n’hésitez pas à me contacter pour discuter de détection et réponse, d’automatisation de la sécurité par IA ou d’une collaboration.