Podcaster
Episoden
02.04.2026
53 Minuten
Red & Black Beard Security Podcast - Episode 2: AI in der Security – Security Copilot, Agents und smarte Automation
English Version
In Episode 2, Marcus Henker and Marc Holländer dive into a practical question many security teams face right now: where does AI actually help in daily defensive operations, and where is the hype still ahead of reality?
They discuss Microsoft Security Copilot requirements, why data quality and connector strategy matter, and which real-world use cases already deliver value. The episode covers phishing triage automation, conditional access optimization, incident pre-qualification, and executive reporting. The key takeaway is clear: AI is not replacing analysts, but it can significantly improve speed, consistency, and decision quality when used in focused workflows.
The hosts also compare built-in copilot capabilities with custom automation using Logic Apps and Azure OpenAI, including trade-offs in cost, flexibility, and implementation effort. If your team is balancing limited resources, growing alert volume, and pressure to “do more with AI,” this episode gives you a realistic framework to start.
Deutsche Version
In Folge 2 sprechen Marcus Henker und Marc Holländer darüber, wie AI im Security-Alltag heute wirklich sinnvoll eingesetzt werden kann. Im Mittelpunkt steht nicht die Vision eines vollautomatischen SOC, sondern die Frage, wie Teams schneller und strukturierter auf Vorfälle reagieren.
Die beiden diskutieren Voraussetzungen rund um Microsoft Security Copilot, die Bedeutung einer belastbaren Datengrundlage und konkrete Einsatzfelder mit messbarem Nutzen. Dazu gehören unter anderem Phishing-Triage, Conditional-Access-Optimierung, bessere Vorqualifizierung von Incidents sowie Reporting für technische und nicht-technische Zielgruppen.
Außerdem wird der Vergleich zwischen nativen Copilot-Funktionen und eigener Automation mit Logic Apps plus Azure OpenAI gezogen: weniger Einführungsaufwand auf der einen Seite, mehr Individualität und On-Demand-Kostenkontrolle auf der anderen. Das Ergebnis ist ein praxisnaher Blick auf AI als Verstärker für Security-Teams, nicht als Ersatz für Analysten.
Chapters
00:00 – Intro & Rahmen
02:35 – Was AI heute kann (und was noch nicht)
04:02 – Datengrundlage: Microsoft + Third Party
05:28 – Konkrete Use Cases im Alltag
08:17 – Reporting für C-Level
09:19 – SCU, Verbrauch und Kostenlogik
11:45 – Promptbooks und standardisierte Abläufe
17:58 – Built-in Agents im Überblick
18:14 – Phishing Triage Agent in der Praxis
24:01 – Conditional Access Optimization Agent
28:50 – Identity Risk Analyzer und Lizenzrealität
31:32 – Logic Apps + Azure OpenAI als Alternative
37:29 – Automatisierte Nutzerkommunikation
40:48 – Kostenvergleich: nativ vs. custom
47:02 – Fazit: Assistenz statt Analysten-Ersatz
52:47 – Outro
https://open.substack.com/pub/redandblackbeard/p/red-and-black-beard-security-podcast?r=83r3bn&utm_campaign=post&utm_medium=web&showWelcomeOnShare=true
English Version
In Episode 2, Marcus Henker and Marc Holländer dive into a practical question many security teams face right now: where does AI actually help in daily defensive operations, and where is the hype still ahead of reality?
They discuss Microsoft Security Copilot requirements, why data quality and connector strategy matter, and which real-world use cases already deliver value. The episode covers phishing triage automation, conditional access optimization, incident pre-qualification, and executive reporting. The key takeaway is clear: AI is not replacing analysts, but it can significantly improve speed, consistency, and decision quality when used in focused workflows.
The hosts also compare built-in copilot capabilities with custom automation using Logic Apps and Azure OpenAI, including trade-offs in cost, flexibility, and implementation effort. If your team is balancing limited resources, growing alert volume, and pressure to “do more with AI,” this episode gives you a realistic framework to start.
Deutsche Version
In Folge 2 sprechen Marcus Henker und Marc Holländer darüber, wie AI im Security-Alltag heute wirklich sinnvoll eingesetzt werden kann. Im Mittelpunkt steht nicht die Vision eines vollautomatischen SOC, sondern die Frage, wie Teams schneller und strukturierter auf Vorfälle reagieren.
Die beiden diskutieren Voraussetzungen rund um Microsoft Security Copilot, die Bedeutung einer belastbaren Datengrundlage und konkrete Einsatzfelder mit messbarem Nutzen. Dazu gehören unter anderem Phishing-Triage, Conditional-Access-Optimierung, bessere Vorqualifizierung von Incidents sowie Reporting für technische und nicht-technische Zielgruppen.
Außerdem wird der Vergleich zwischen nativen Copilot-Funktionen und eigener Automation mit Logic Apps plus Azure OpenAI gezogen: weniger Einführungsaufwand auf der einen Seite, mehr Individualität und On-Demand-Kostenkontrolle auf der anderen. Das Ergebnis ist ein praxisnaher Blick auf AI als Verstärker für Security-Teams, nicht als Ersatz für Analysten.
Chapters
00:00 – Intro & Rahmen
02:35 – Was AI heute kann (und was noch nicht)
04:02 – Datengrundlage: Microsoft + Third Party
05:28 – Konkrete Use Cases im Alltag
08:17 – Reporting für C-Level
09:19 – SCU, Verbrauch und Kostenlogik
11:45 – Promptbooks und standardisierte Abläufe
17:58 – Built-in Agents im Überblick
18:14 – Phishing Triage Agent in der Praxis
24:01 – Conditional Access Optimization Agent
28:50 – Identity Risk Analyzer und Lizenzrealität
31:32 – Logic Apps + Azure OpenAI als Alternative
37:29 – Automatisierte Nutzerkommunikation
40:48 – Kostenvergleich: nativ vs. custom
47:02 – Fazit: Assistenz statt Analysten-Ersatz
52:47 – Outro
https://open.substack.com/pub/redandblackbeard/p/red-and-black-beard-security-podcast?r=83r3bn&utm_campaign=post&utm_medium=web&showWelcomeOnShare=true
Mehr
16.02.2026
54 Minuten
Red & Black Beard Security Podcast - Episode 1: "Angriffsfläche reduzieren: Microsoft Security Basics"
In this first episode, we sit down and talk about how we actually reduce attack surface in the Microsoft world: from identities, tenants and guests to endpoints, conditional access and classic on‑prem AD. We share our own experiences, opinions and a few hard lessons learned along the way - always with a focus on what really helps against real-world attacks instead of just ticking compliance boxes.
#################################################
In dieser ersten Folge nehme ich euch mit in unsere Welt und zeige, wie wir die Angriffsfläche im Microsoft-Umfeld sinnvoll reduzieren - von Identitäten, Tenants und Gästen über Endgeräte und Conditional Access bis hin zu klassischem On-Prem-AD. Wir teilen unsere Erfahrungen, unsere Meinung und ein paar schmerzhafte Learnings aus echten Projekten - mit klarem Fokus auf Maßnahmen, die echte Angriffe erschweren, statt nur Häkchen in Audits zu setzen.
Chapters:
00:00 - Intro & Rahmen: Reduzierung der Angriffsfläche
03:10 - Was ist Angriffsfläche? Identität, Endpunkt, Daten, Tenant
10:05 - Tenant-Hardening, Gäste, Sharing-Settings & Lifecycle
13:00 - Identitäten, MFA-Rollout, Conditional Access & FIDO/Passwortless
24:55 - Endgeräte: Intune, Least Privilege, Patchen & Endpoint Security
42:40 - On-Prem AD, Hybrid-Identität & Legacy-Infrastruktur als Angriffsfläche
52:53 - Recap & Ausblick auf weitere Folgen (Daten, Insider Risk, Compliance)
In this first episode, we sit down and talk about how we actually reduce attack surface in the Microsoft world: from identities, tenants and guests to endpoints, conditional access and classic on‑prem AD. We share our own experiences, opinions and a few hard lessons learned along the way - always with a focus on what really helps against real-world attacks instead of just ticking compliance boxes.
#################################################
In dieser ersten Folge nehme ich euch mit in unsere Welt und zeige, wie wir die Angriffsfläche im Microsoft-Umfeld sinnvoll reduzieren - von Identitäten, Tenants und Gästen über Endgeräte und Conditional Access bis hin zu klassischem On-Prem-AD. Wir teilen unsere Erfahrungen, unsere Meinung und ein paar schmerzhafte Learnings aus echten Projekten - mit klarem Fokus auf Maßnahmen, die echte Angriffe erschweren, statt nur Häkchen in Audits zu setzen.
Chapters:
00:00 - Intro & Rahmen: Reduzierung der Angriffsfläche
03:10 - Was ist Angriffsfläche? Identität, Endpunkt, Daten, Tenant
10:05 - Tenant-Hardening, Gäste, Sharing-Settings & Lifecycle
13:00 - Identitäten, MFA-Rollout, Conditional Access & FIDO/Passwortless
24:55 - Endgeräte: Intune, Least Privilege, Patchen & Endpoint Security
42:40 - On-Prem AD, Hybrid-Identität & Legacy-Infrastruktur als Angriffsfläche
52:53 - Recap & Ausblick auf weitere Folgen (Daten, Insider Risk, Compliance)
Mehr
Über diesen Podcast
Two bearded security pros cut through Microsoft security noise –
no fluff, just practical hardening tips, real-world battle
stories and straight talk about tools like attack surface
reduction, Security Copilot and Zero Trust. Perfect for busy IT
admins, CISOs and sysadmins who want actionable advice that
actually stops attacks, not just ticks audit boxes.
Zwei bärtige Security-Profis schneiden durch den
Microsoft-Security-Kram – kein Blabla, nur praktische
Härte-Tipps, echte Kampferfahrungen und direkte Worte zu Tools
wie Angriffsflächenreduktion, Security Copilot und Zero Trust.
Perfekt für gestresste IT-Admins, CISOs und Sysadmins, die
handfeste Ratschläge wollen, die Angriffe stoppen – nicht nur
Audits abhaken.
In Deutsch – direkt aus der DACH-Security-Praxis.
Kommentare (0)
Melde Dich an, um einen Kommentar zu schreiben.