Jordy HerberWie Microsoft Purview nog steeds ziet als een compliance-oplossing voor juridische afdelingen, mist inmiddels de helft van het verhaal. Purview is uitgegroeid tot een integraal onderdeel van de securityarchitectuur van Microsoft 365 — en dat is duidelijk te zien in de CIS Microsoft 365 Benchmark v6.0.0.
Waar eerdere benchmarks Purview vooral beschouwden als audit- en governanceplatform, maakt v6 het onmiskenbaar: Purview is een primaire beschermingslaag voor data, een detectielaag voor risk-based acties en een handhavingslaag binnen Zero Trust.
In deze blog duiken we diep in de verschillen tussen v5.0.0 en v6.0.0 op het gebied van Purview Audit, Data Loss Prevention (DLP) en Sensitivity Labels. Wat is er veranderd? Waarom? En hoe sluit dit aan op Defender, Entra en Sentinel binnen jouw Microsoft 365 Security Stack?
🧭 Overzicht: Purview’s rol in CIS Benchmark v6
De Purview sectie in de benchmark richt zich op drie hoofdgebieden:
- Audit (3.1)
- Data Loss Prevention (3.2)
- Information Protection / Sensitivity Labelling (3.3)
CIS v6 bevat geen grote nieuwe secties, maar wel diepere, striktere en beter omschreven controls. De bedoeling is duidelijk: Purview moet een centrale pijler zijn binnen elk securityprogramma, niet alleen een monitoringmechanisme.
Wat valt op in v6?
| Onderdeel | v5 | v6 |
| Audit | Aanwezig | Gewijzigde auditprocedure, meer nadruk op Unified Audit Log |
| DLP | Aanwezig | Vaker Automated dan Manual, strakker gedefinieerd |
| Sensitivity Labels | Aanwezig | Beter verwoord, consistenter auditproces |
🎧 1. Audit — v6 legt de nadruk op zichtbaarheid, niet alleen logging
Purview Audit blijft een van de meest cruciale configuraties binnen Microsoft 365. CIS v5 en v6 beschrijven beide:
Ensure Microsoft 365 audit log search is Enabled.
(v5 – 3.1.1, v6 – 3.1.1)
Maar v6 verfijnt de auditprocedure aanzienlijk.
Wat is er anders?
1.1. Unified Audit Platform-referenties
v6 verwijst impliciet naar de modernere Unified Audit Platform binnen Microsoft 365, waarin meer workloads automatisch worden vastgelegd, waaronder:
- Teams meetings & chats
- SharePoint/OneDrive sharing events
- Sensitivity label actions
- Defender alerts
- Entra sign-in changes
1.2. Duidelijkere auditprocedure
v6 bevat:
- verbeterde PowerShell-auditcommando’s
- striktere verificatiestappen
- expliciete afhankelijkheden van licenties
Het verschil lijkt klein, maar operationeel is het groot: auditing wordt een actieve beveiligingsmaatregel, geen vinkje.
🔐 2. Data Loss Prevention — v6 maakt DLP minder vrijblijvend en meer “automated”
DLP is in Purview een van de krachtigste manieren om datalekken te voorkomen. In CIS v5 waren de DLP-aanbevelingen relatief high-level. In v6 worden ze concreter en strakker afgekaderd.
CIS schrijft in beide versies:
Ensure DLP policies are enabled.
(v5 – 3.2.1, v6 – 3.2.1)
Maar v6 wijkt op een paar punten af.
Wat verandert er in v6?
2.1. Steeds meer DLP-controls verschuiven van Manual naar Automated
Waar v5 nog omschrijft dat beoordeling van de policyconfiguratie deels handmatig moet plaatsvinden, markeert v6 meer configuratiestappen als “Automated”.
Reden:
Microsoft heeft DLP verfijnd met:
- automatische detection patterns
- adaptive protection integraties
- AI-aangedreven classifiers
- bredere coverage (Teams, OneDrive, SharePoint, Exchange)
2.2. Meer nadruk op cross-workload bescherming
v6 verwacht dat DLP actief is voor:
- OneDrive
- SharePoint
- Teams
- Exchange
Specifiek:
Ensure DLP policies are enabled for Microsoft Teams.
(v5 – 3.2.2, v6 – 3.2.2)
Teams-DLP was in v5 al aanbevolen, maar v6 maakt het “strikter”, vooral door aanvullende auditstappen.
2.3. Integratie met Defender & Insider Risk
Hoewel CIS dit niet expliciet noemt, sluit v6 duidelijk beter aan bij:
- Defender for Cloud Apps (e.g., session controls)
- Insider Risk Management (detectie van data misuse)
- Adaptive Protection (automated risk response op basis van user risk)
De baseline schuift dus mee richting data-aware bescherming.
🔒 3. Sensitivity Labels — In v6 minder optioneel, meer randvoorwaarde
Sensitivity labels vormen de classificatielaag van Zero Trust. In Purview wordt hiermee:
- content geclassificeerd,
- encryptie toegepast,
- rights management geregeld,
- interne en externe delen gecontroleerd
- en data state-and-motion policies afgedwongen.
CIS v6 benadrukt het belang hiervan sterker dan v5.
Beide versies bevatten:
Ensure Information Protection sensitivity label policies are published.
(v5 – 3.3.1, v6 – 3.3.1)
Maar in v6 is de context duidelijk verdiept.
Wat is er anders?
3.1. Duidelijkere definitie van “published”
Waar v5 nogal vaag was over wanneer een label “actief” is, benoemt v6:
- dat het label moet zijn toegewezen aan gebruikers,
- dat het in de client zichtbaar moet zijn,
- en dat audit events beschikbaar moeten zijn.
3.2. Betere audit- en remediationprocedures
v6 geeft:
- uitgebreidere Microsoft 365 compliance center navigatie
- duidelijkere PowerShell verificaties
- explicietere eisen voor automatische labeling
3.3. Strakkere mapping naar workloads
v6 benoemt welke workloads de labels moeten herkennen, zoals:
- Exchange
- SharePoint
- OneDrive
- Teams
- Office desktop-apps
- Office web-apps
Purview wordt daarmee een geïntegreerd, tenantbreed datacontrolemechanisme.
🧩 Hoe Purview samenwerkt met Defender, Entra en Sentinel
In CIS v6 wordt impliciet duidelijk dat Purview niet meer losstaat van de rest van het security-ecosysteem.
Hier is een overzicht hoe Purview-controls mappen naar andere securityproducten:
| Purview Control | Defender Integratie | Entra Integratie | Sentinel Integratie |
| DLP policies | Detectie van risky app behavior | CA Conditional Access voor apps | DLP alerts, UEBA |
| Sensitivity labels | Beschermde content in mail, SPO & OD | Conditional Access op label-protected content | Label activity logs |
| Audit logs | Defender incident context | Identity sign-in correlation | Incident correlation rules |
| External sharing governance | MCAS session controls | Cross-tenant policies | SPO/OD audit logging |
Purview is dus een kerncomponent van de moderne Zero Trust architectuur.
📉 Waarom CIS v6 Purview strenger maakt
CIS volgt trends in het dreigingslandschap. En die trends liegen niet:
- Data-exfiltration vindt steeds vaker plaats via Teams, SharePoint en OneDrive.
- Insider threats hebben meer aanvalsmogelijkheden door hybride werken.
- Automatische encryptie en labelling worden industry-standard.
- E-mail is niet langer de enige “delivery vector” voor gevoelige data.
- Organisaties worden steeds vaker beoordeeld op dataklassenbeveiliging.
CIS v6 erkent dat security begint bij data, niet bij infrastructuur.
Daarom is Purview een prominenter onderdeel geworden van de benchmark.
📊 Samenvatting van de grootste verschillen tussen v5 en v6 voor Purview
| Domein | v5 | v6 |
| Audit log | Basis | Modernere auditmethodes, duidelijkere verificatie |
| DLP | Handmatige validatie | Automatisering verplicht gesteld waar mogelijk |
| Teams DLP | Beschreven | Striktere definitie van coverage |
| Sensitivity labels | Basis publicatie-eisen | Duidelijke workload requirements, betere auditcontext |
| M365 workloads | Minder expliciet | Tenantbrede labeldetectie verplicht |
🧠 Conclusie — Purview is niet langer optioneel, maar essentieel
CIS Benchmark v6 maakt duidelijk dat Purview een cruciale rol speelt in het beveiligen van Microsoft 365. Niet als compliance tool, maar als integraal onderdeel van:
- Identity governance
- Insider threat detection
- Data loss prevention
- Zero Trust applicatiebeleid
- Auditability & forensics
De verschuiving van v5 naar v6 laat zien dat securityteams Purview moeten inzetten als primair mechanisme voor data-aware beveiliging. Zonder Purview kun je simpelweg geen moderne baseline implementeren.