Jordy Herber⭐ Inleiding
Je hoeft tegenwoordig geen volleerd cloudcowboy te zijn om te merken dat Microsoft 365 zich razendsnel ontwikkelt. Nieuwe functionaliteiten worden vrijwel dagelijks uitgerold, security-instellingen veranderen, en features worden stilletjes vervangen of verplaatst. Dat maakt het beheren van een veilige tenant steeds uitdagender.
Gelukkig zijn er richtlijnen die helpen richting geven in deze dynamiek: de CIS Microsoft 365 Foundations Benchmarks. De overgang van versie 5.0.0 naar versie 6.0.0 is er een die de realiteit van moderne Microsoft 365-security beter weerspiegelt. Maar wat is er precies veranderd? En waarom is v6 voor veel organisaties belangrijker dan ooit?
In deze eerste blog van de serie leggen we de basis:
- Wat CIS Benchmarks zijn
- Waarom cloudbenchmarks zo vaak geüpdatet worden
- Wat er op hoofdlijnen anders is in v6
- Welke typische beveiligingsfouten CIS probeert te corrigeren
- Hoe de benchmarks mappen op Microsoft Security-producten
- Waarom v6 inhoudelijk relevanter is dan v5
🏛️ Wat zijn CIS Benchmarks?
CIS Benchmarks zijn best practices voor securityconfiguraties die helpen om Microsoft 365 te hardenen. Ze vormen geen volledige securitystrategie, maar een fundament waarop je een volwassen beveiligingsprogramma bouwt.
Belangrijkste kenmerken van CIS Benchmarks:
- Ze beschrijven technische configuraties voor een veilige baseline
- Ze zijn bedoeld voor beheerders, securityspecialisten en auditors
- Ze bevatten zowel Automated als Manual aanbevelingen
- Ze richten zich op governance, detectie, bescherming én auditbaarheid
- De aanbevelingen zijn prescriptief, maar niet dwingend
Zoals beide versies aangeven in de sectie Overview (v5 p.7, v6 p.8) benadrukt CIS dat deze benchmarks altijd gebruikt moeten worden in combinatie met patching, logging en endpoint security .
🤝 Gebaseerd op consensus van experts
CIS Benchmarks worden niet door een willekeurige groep schrijvers opgesteld; ze komen tot stand via een global consensus model.
De sectie Consensus Guidance (v5 p.11, v6 p.12) beschrijft dat dit proces bestaat uit:
- Securityconsultants
- Microsoft-engineers
- Auditors en compliance-experts
- Cloud architects
- Overheidsexperts
- Research-specialisten
Deze brede samenstelling zorgt ervoor dat benchmarks niet alleen theoretisch sterk zijn, maar vooral praktisch toepasbaar.
☁️ Waarom komen updates sneller voor cloudproducten?
Cloudtechnologie is niet statisch. Microsoft 365 verandert continu, soms dagelijks. In de sectie Apply the Correct Version of a Benchmark legt CIS uit waarom verouderde versies vrijwel direct achterhaald kunnen raken (v5 p.8, v6 p.9) :
Redenen dat cloudbenchmarks sneller vernieuwd moeten worden:
- Features verdwijnen of worden hernoemd
- Policies worden functioneel aangepast
- Microsoft introduceert nieuwe securitymechanismen
- Aanvallen evolueren op hoge snelheid
- Integratie tussen workloads (Teams ↔ OneDrive ↔ Entra) neemt toe
CIS moet dus blijven bijwerken om de benchmark relevant te houden.
🔍 Wat valt direct op in v6? — Hoog-over verschillen
Hoewel de structuur van de benchmark grotendeels hetzelfde blijft, is v6 inhoudelijk duidelijk strenger en uitgebreider.
🧾 Direct zichtbare verschillen
Hier is een overzicht van veranderingen per productgebied:
| Productgebied | v5 → v6 Verandering | Opmerkingen |
| Entra ID | Grote stijging | Nieuwe controls voor device join, service principals, OTP-methodes |
| Defender / Email | Stijging | Outbound spam limits, striktere attachment filtering |
| Cloud Apps (MCAS) | Aangescherpt | “Enabled én configured” i.p.v. alleen configuratie |
| Teams | Duidelijke toename | Blokkeren van trial tenants, strengere extern-domeinrestricties |
| Purview | Verfijnd | DLP nu vaker geautomatiseerd; labels consistenter beschreven |
| Intune | Toegenomen rol | Device governance wordt belangrijker in Zero Trust |
🆕 Nieuwe aanbevelingen in v6
In Entra ID:
- Blokkeren van zwakke MFA-methoden, zoals email OTP
- Limiteren van device join capaciteiten
- Strengere beperkingen op service principals
- Uitgebreidere guest governance
In Defender for Office / Email:
- Outbound anti-spam message limits toegevoegd
- Uitgebreidere Safe Attachments configuraties
- Striktere filtering op attachment types
In Teams:
- Blokkeren van communicatie met trial tenants
- Meer granulariteit in externe domeinrestricties
- Aangescherpte meeting security
In Purview:
- Verschillende DLP-controls zijn nu Automated
- Sensitivity labels strakker afgestemd op policies
🧨 Typische hardening-fouten die CIS probeert op te lossen
Veel veranderingen in v6 zijn het antwoord op terugkerende misconfiguraties die CIS in het veld ziet. De belangrijkste:
1. Halfslachtige MFA-implementaties
- Per-user MFA staat nog aan → moet uit
- Conditional Access is niet volledig afgedwongen
- Legacy authenticatiemethoden staan open
2. Te open externe samenwerking
- Teams staat open voor alle domeinen
- SharePoint en OneDrive link sharing is te ruim
- Externe sharing expiry is niet ingesteld
3. E-mail forwarding wordt niet beperkt
- Forwarding naar externe adressen blijft een groot risico
- Outbound spam vector wordt vaak onderschat
4. Auditing en logging zijn wel beschikbaar, maar worden niet gebruikt
- Purview Audit staat wel aan, maar niemand monitort het
- Veel tenants missen alerting of SIEM-koppelingen
5. Overmatig gebruik van Global Admin
- PIM niet ingeschakeld
- Geen afbouw van permanente adminrechten
🎯 Mapping naar de Microsoft Security Stack
CIS heeft in v6 duidelijk meer aansluiting gezocht bij Microsofts eigen securityarchitectuur. Hieronder een overzicht van hoe de benchmark past binnen de Microsoft Security-producten.
Purview → Governance & Audit
Controls gericht op:
- DLP
- Sensitivity labels
- Data sharing restrictions
- Audit log retention
Purview vormt de datalaag van de securityarchitectuur.
Defender → Bescherming & Detectie
Controls gericht op:
- Anti-phishing
- Anti-malware
- Safe Links / Safe Attachments
- Priority accounts
- Cloud Apps-beveiliging
Defender blokkeert wat Purview probeert te voorkomen.
XDR → Correlatie & Incidentrespons
CIS-controls voor o.a. identity, mail, devices en apps komen hier samen:
- Sign-in risk
- Compromised accounts
- Malicious file sharing
- Endpoint alerts
XDR maakt gebeurtenissen betekenisvol.
Sentinel → Monitoring & Analytics
Sentinel koppelt alle auditdata:
- Entra sign-in logs
- Defender incidenten
- Purview Audit
- Teams/SharePoint/Exchange logs
Sentinel vormt hiermee de verificatielaag voor CIS-compliance.
🆚 De rol van E3 vs E5-profielen
In zowel v5 als v6 beschrijft de sectie Profile Definitions (v5 p.15–16, v6 p.16–17) vier configuratieprofielen die aansluiten bij de licentie en securitybehoefte van de organisatie .
| Profiel | Beschrijving | Geschikt voor |
| E3 Level 1 | Minimale, praktische baseline | Standaard commerciële organisaties |
| E3 Level 2 | Strengere beveiliging boven gebruiksgemak | Regio’s met compliance-eisen |
| E5 Level 1 | Voegt Identity Protection, PIM, Defender for O365 toe | Organisaties met bredere detectiebehoeften |
| E5 Level 2 | Maximale beveiliging, zero-tolerance baselines | Banken, overheden, kritieke infrastructuur |
Met andere woorden: hoe hoger je licentieniveau, hoe robuuster je baseline.
🧠 Conclusie — Waarom is v6 relevanter dan ooit?
De overgang naar v6 is geen kleine iteratie, maar een duidelijke modernisering van de baseline die organisaties nodig hebben in een tijd waarin:
- identiteitsaanvallen explosief toenemen,
- samenwerking steeds vaker plaatsvindt met externe partijen,
- data steeds sneller de organisatie verlaat,
- aanvallen op e-mail en Teams krachtiger worden,
- en Microsoft zelf sneller verandert dan ooit.
v6 helpt organisaties opnieuw de lat op de juiste hoogte te leggen. Het biedt duidelijkere auditstappen, modernere securityaanbevelingen en een betere aansluiting op Microsofts eigen securitytools.
▶️ Wat kun je verwachten van deze blogserie?
De komende blogs op ITCowboys gaan:
- per productgroep diep in op de wijzigingen tussen v5 en v6,
- laten zien waarom die wijzigingen zijn doorgevoerd,
- en vertalen CIS-controls naar Defender, Purview, XDR en Sentinel.
Daarbij krijg je een risk-based prioriteringsmodel, zodat je niet alleen weet wat er moet gebeuren, maar ook waar je moet beginnen.