Microsoft 365 Defender Safe Links, Safe Attachments en alle andere verschillen tussen CIS v5 en v6

Posted by: Jordy Herber Posted on

“Waarom e-mailbeveiliging in CIS v6 strenger, breder en noodzakelijker is geworden.”

Door Jordy Herber – Microsoft Security MVP (SIEM & XDR)

Inleiding

Als er één domein binnen Microsoft 365 is waar aanvallers nog steeds massaal op inzetten, dan is het wel e-mail. Van phishingcampagnes en business email compromise (BEC) tot kwaadaardige bijlagen en domain spoofing — de mailbox blijft de meest populaire aanvalsvector. Daarom is het geen verrassing dat CIS Benchmark v6.0.0 veel strenger is geworden op het gebied van e-mail- en collaborationbeveiliging binnen Microsoft 365 Defender.

Waar v5 nog vooral een solide basis neerzette, gaat v6 een stap verder met strengere limieten, uitgebreidere configuraties en betere definities van wanneer een organisatie compliant is. De benchmark maakt steeds concreter hoe Safe Links, Safe Attachments, anti-phishing policies en mail transportregels moeten worden ingericht om een moderne zero trust-omgeving te ondersteunen.

In deze blog leggen we de belangrijkste verschillen tussen v5.0.0 en v6.0.0 bloot, kijken we naar waarom die wijzigingen zijn doorgevoerd, en beschrijven we hoe je ze vertaalt naar Defender, XDR en Sentinel.

🧭 Hoog-over overzicht van de veranderingen in v6

De Defender-sectie in CIS v6 is opgedeeld in meerdere domeinen:

  • Email & Collaboration
  • Cloud Apps (Defender for Cloud Apps)
  • Priority Accounts
  • System & Audit

De grootste veranderingen zitten in de eerste twee categorieën. Hieronder zie je een overzicht van wat in v6 is toegevoegd, aangescherpt of geheel nieuw geschreven.

📌 Wat is nieuw of gewijzigd in v6?

CategorieVerandering v5 → v6Impact
Outbound anti-spamNieuw toegevoegd in v6Zeer hoog
Safe AttachmentsStriktere configuratievereistenHoog
Safe LinksImpliciete strengere waardenMedium
Anti-phishing policiesUitgebreidere beoordelingseisenHoog
MCAS (Cloud Apps)“Enabled én configured” verplichtHoog
Priority AccountsBeter beschreven, strikter in v6Medium
Event MonitoringHeldere auditvereistenMedium

De rode draad: CIS maakt e-mailbeveiliging meer proactief in plaats van alleen reactief.

✉️ 1. Outbound Anti-Spam Limits — De belangrijkste nieuwe control in v6

Veruit de grootste toevoeging in v6 is de aanbeveling:

Ensure outbound anti-spam message limits are in place
(sectie 2.1.15, v6)

In v5 bestaat deze aanbeveling helemaal niet, maar in v6 wordt deze control als essentieel aangemerkt.

Waarom deze toevoeging?

Compromised accounts worden tegenwoordig niet alleen gebruikt om phishing ontvangen, maar vooral om grote hoeveelheden spam te versturen. Dit leidt tot:

  • tenant reputation damage
  • blocklisting van jouw organisatie
  • escalatie naar bredere aanvallen (BEC, fraude)
  • verstoring van legitieme communicatie

Microsoft Defender kan automatisch verdachte spamvolumes detecteren, maar zonder limieten kan een aanvaller in korte tijd enorme schade aanrichten.

Wat CIS nu expliciet voorschrijft:

  • Stel harde limieten in voor het aantal e-mails dat een gebruiker per uur of per dag mag verzenden.
  • Zorg dat incidentmeldingen over overschrijdingen automatisch in Defender zichtbaar zijn.
  • Monitor dit actief via XDR en Sentinel.

📎 2. Safe Attachments — In v6 scherper gedefinieerd

Safe Attachments blijft een kritieke stap in zowel v5 als v6, maar de beschrijving en voorwaarden zijn strenger geworden.

In v6 gelden zwaardere eisen:

  1. Safe Attachments Policy moet Enabled zijn
    (v6 – 2.1.4)
  1. Dynamic Delivery moet standaard gebruikt worden
  2. Safe Attachments for SharePoint, OneDrive and Teams moet aan staan
    (v6 – 2.1.5)
  3. De auditprocedure bevat nu duidelijkere PowerShell- en portalstappen

Waarom deze aanscherping?

Omdat moderne malware niet meer alleen via e-mail binnenkomt, maar ook:

  • via Teams-chat
  • via OneDrive-sharing
  • via SharePoint-links
  • via collaboratieve documentflows

Daarom verschuift Defender steeds meer naar workload-overschrijdende detectie.

🔗 3. Safe Links — Kleinere aanpassingen, maar grotere implicaties

In v6 blijft de basis hetzelfde, maar CIS maakt de audit- en verificatiemethoden strikter. De aanbeveling luidt:

Ensure Safe Links for Office Applications is Enabled
(v6 – 2.1.1)

Wat is strenger geworden?

  • Safe Links moet niet alleen actief zijn in Outlook, maar in alle Office-apps
  • URL rewriting moet altijd plaatsvinden
  • Real-time scanning is verplicht
  • Gebruikers mogen geen Safe Links uitschakelen

Waarom?

Omdat aanvallers massaal gebruikmaken van:

  • dynamic redirectors
  • aged phishing links
  • payload swapping

CIS wil hiermee voorkomen dat gebruikers alsnog op malafide links klikken via OneNote, Word of Teams.

🎣 4. Anti-phishing — Prioriteitsaccounts en bredere detectie

Anti-phishing policies zijn een van de grootste inhoudelijke blokken binnen Defender. In v6 is dit nog verder uitgewerkt.

Belangrijkste wijzigingen:

1. Prioriteitsaccounts krijgen striktere regels

CIS v6 vereist:

  • Priority account protection must be enabled
  • Priority accounts must have strict protection presets applied

(v6 – 2.4.1 en 2.4.2)

In v5 komt dit al voor, maar veel minder gedetailleerd.

Waarom stricter?

Omdat BEC-aanvallen vaak gericht zijn op:

  • CEO’s
  • CFO’s
  • Finance Medewerkers
  • HR medewerkers
  • IT administrators

En omdat deepfake-phishing snel toeneemt.

☁️ 5. Defender for Cloud Apps (MCAS) — Nu verplicht actief én geconfigureerd

Een fundamentele verandering in v6:

Microsoft Defender for Cloud Apps must be enabled and configured.
(v6 – 2.4.3)

In v5 was MCAS-configuratie wel genoemd, maar was het geen harde eis dat het “enabled” stond.

Waarom deze wijziging?

Organisaties werken meer dan ooit met:

  • third-party cloud apps
  • shadow IT
  • BYOD-workloads
  • externe integraties

Zonder MCAS heb je geen zicht op deze risico’s.

Wat CIS nu verwacht:

  • Governing van OAuth apps
  • Session control policies
  • Cloud discovery
  • App governance alerts
  • Activity monitoring en anomalYdetectie

🧾 6. Filtering Policies — Verdachte domains en allowed lists

CIS v6 maakt filtering policies strenger op twee gebieden:

  1. Connection filter rules
    • Allowed IP lists moeten leeg zijn
    • Safe list moet uit staan
  2. Transport rules
    • Geen whitelisted domains
    • Geen forwarding exceptions

Deze controls blijven grotendeels hetzelfde in v5, maar de auditprocedures en implicaties zijn in v6 veel beter beschreven.

📊 Tabel: Samenvatting van de grootste verschillen v5 vs v6

Onderdeelv5v6
Outbound spam limitsNiet aanwezigNieuw en verplicht
Safe AttachmentsBeschrevenStrenger, breder, aanvullende workloads
Safe LinksBasisconfigVerdere uitwerking, ook Office-apps
Anti-phishingAanwezigPrioriteitsaccount governance uitgebreid
MCASAanbevolenEnabled én configured verplicht
Malware notificatiesStandaardStriktere vereisten voor admin alerts
Attachment filteringBasisVerbreding van allowed/blocked types

🔎 Hoe dit alles terugkomt in XDR & Sentinel

De veranderingen in v6 zijn nauw verbonden met de evolutie van Microsoft XDR.

XDR correlaties die sterker worden door CIS v6 controls:

  • Mail → Identity → Endpoint → Cloud Apps signalflow
  • Spam limit violations → compromise verdacht gedrag
  • Safe Links click verdicts → user risk
  • Safe Attachments detonations → entity risk
  • OAuth abuse → anomalous app behavior

Sentinel krijgt hierdoor betere signalen voor:

  • Threat hunting queries
  • UEBA-analyse
  • BEC-detecties
  • Cross-workload correlation rules
  • Shadow IT monitoring

Met andere woorden: door CIS v6 te implementeren, verbeter je automatisch de kwaliteit van je SOC-detecties.

🧠 Conclusie — Defender in v6 is completer, strenger en beter afgestemd op moderne dreigingen

De verschillen tussen v5 en v6 zijn niet slechts cosmetisch — ze weerspiegelen een duidelijke verschuiving in het dreigingslandschap:

  • Phishing evolueert
  • Malware verspreidt zich via nieuwe kanalen
  • Dienstaccounts worden vaker misbruikt
  • Shadow IT groeit harder dan ooit
  • Compromised accounts veroorzaken reputatieschade

CIS v6 geeft organisaties een veel concretere en strengere baseline voor het beveiligen van e-mail, collaboration en cloudappgebruik.

Implementatie van deze controls leidt direct tot:

  • betere XDR-detecties
  • sterkere anti-phishing bescherming
  • minder reputatieschade
  • meer zicht op risky behaviour
  • betere tenant-hygiëne op lange termijn
Leave a Reply

Your email address will not be published. Required fields are marked *