Jordy HerberNa tien diepgaande blogs over de verschillende domeinen binnen CIS Benchmark v6.0.0 is het tijd voor de eindstreep — of beter gezegd: de synthese. Want hoewel elke blog een specifiek onderdeel verduidelijkte, draait het uiteindelijk maar om één ding:
Hoe evolueer je van een Microsoft 365-omgeving die ‘redelijk’ beveiligd is (v5), naar een modern, risk-based Zero Trust model (v6)?
CIS v6 is namelijk niet zomaar een update. Het is geen incremental patch. Het is het resultaat van een duidelijke trend in het dreigingslandschap én de evolutie van Microsoft 365 Security zelf. Waar v5 nog vooral gericht was op baseline-instellingen, gaat v6 veel meer richting:
- Zero Trust
- risico-gestuurde toegangscontrole
- device-aware conditional access
- data-centric security
- XDR-correlatie
- monitoring-first security
- identity governance
In deze laatste blog verenigen we alles:
- alle verschillen tussen v5 en v6
- de 20 belangrijkste wijzigingen
- een prioriteitskader voor implementatie
- een mapping naar Microsoft securityproducten
- een implementatie-roadmap op basis van risico
- praktijklessen
- en een eindconclusie over waarom v6 een belangrijke mijlpaal vormt
Deze master guide is bedoeld als referentiedocument voor architecten, securityteams, SOC’s en IT-managers die hun omgeving moeten hardenen in lijn met moderne dreigingen.
🧭 Hoofdstuk 1 — Waarom CIS Benchmark v6 noodzakelijk was
CIS Benchmarks zijn altijd gebaseerd op consensus van experts. In de documenten zelf wordt dit bevestigd via de Consensus Guidance-secties (v5 en v6).
Maar waarom kwam er überhaupt een nieuwe versie?
1.1 De wereld van Microsoft 365 veranderde sneller dan v5 kon bijhouden
Sinds het uitkomen van CIS v5 in februari 2021 veranderden o.a.:
- De introductie van Entra ID (hernoemd van Azure AD)
- Een explosie in Teams-gebruik (en bijbehorende risico’s)
- De adoptie van Intune als Zero Trust en compliance engine
- De volwassenwording van Microsoft 365 Defender XDR
- De standaardisatie van Purview DLP en Sensitivity Labels
- Het einde van Basic Authentication
- De introductie van Continuous Access Evaluation (CAE)
- De verharding van anti-phishing, Safe Links en Safe Attachments
- De razendsnelle toename van BEC-aanvallen
- De groei van cloud app integraties (OAuth abuse)
v6 moest simpelweg meegroeien.
1.2 Het dreigingslandschap verschoof
v6 adresseert direct de incidentcategorieën die in 2022–2024 dominant waren:
- Compromised accounts via wachtwoorden of MFA-fatigue
- OAuth-app misbruik (token hijacking)
- Business Email Compromise (BEC)
- Externe sharing lekken via Teams/SharePoint/OneDrive
- Misbruik van guest accounts
- Shadow IT (ongecontroleerde cloud apps)
- Device-driven aanvallen via unmanaged endpoints
- Post-breach escalation via local admin rights
- Legacy protocol abuse
v5 had daar simpelweg geen antwoord op.
🔍 Hoofdstuk 2 — De 20 belangrijkste wijzigingen van v5 → v6
Hieronder vind je de definitieve lijst van de 20 meest impactvolle wijzigingen, gebaseerd op domain-by-domain analyse van de benchmarks.
🔥 Identity / Entra ID
- Sign-in Risk Policy verplicht (nieuw in v6)
- User Risk Policy verplicht (nieuw in v6)
- Device Join restricties sterk uitgebreid
- Guest Governance vollediger, strenger én consistent gemaakt
- Admin role assignment & monitoring beter uitgewerkt
- Trial tenants moeten worden geblokkeerd (Teams external federation)
🔐 Device / Intune
- Local Admin Restrictions verplicht (nieuw in v6)
- LAPS verplicht voor Entra Joined devices (nieuw in v6)
- Compliance policies moeten risk-based zijn (i.p.v. “recommended” in v5)
- App Protection Policies nu onderdeel van baseline
✉️ Email / Defender for Office 365
- Outbound Anti-Spam Limits (nieuw in v6)
- Safe Attachments verplicht voor SPO/OD/Teams (breder dan in v5)
- Anti-phishing uitgebreider: priority account governance aangescherpt
🔗 Cloud Apps / Defender for Cloud Apps
- MCAS moet enabled én configured zijn (v5 had alleen “recommended”)
- OAuth governance nu indirect verplicht via MCAS baseline
📁 SharePoint / OneDrive / Teams
- Default sharing links moeten ‘Specific People’ zijn
- Anonymous sharing vrijwel compleet incompatibel met v6
- Domain allow/block lists verplicht (i.p.v. aanbeveling in v5)
- Teams ↔ SPO/OD moeten aligned zijn (nieuw expliciet control)
- Unmanaged device access moet worden afgedwongen via CA + app protection
📊 Hoofdstuk 3 — Deep Dive: De belangrijkste thema’s in v6
Om deze master guide overzichtelijk te houden, bundelen we de veranderingen in vijf hoofdthema’s.
Thema A — Identity-first security (Entra ID als ruggengraat)
CIS v6 maakt duidelijk dat:
- Identiteit = toegang
- Risicosignalen = toegangsbeslissing
- Device compliance = identity trust
CIS koppelt identity eerder en strakker aan monitoring, auditing en conditional access dan v5.
Kernverschil:
v5 → Identity controls
v6 → Identity + Device + Risk + Continuous Access
Thema B — Device governance als onderdeel van Zero Trust
Belangrijk in v6:
- LAPS verplicht
- Local admin restricties verplicht
- Device join restricties strenger
- Compliance policies veel concreter
- MAM vereist bij BYOD
- CA enforced device trust
v5 beschreef device governance als configuration advice.
v6 maakt het onderdeel van identity trust.
Thema C — Data-centric security via Purview
Purview is in v6 de fundamentlaag voor:
- audit logs
- DLP voor email/Teams/SPO/OD
- sensitivity labels als verplichte baseline
- cross-workload governance
v6 herpositioneert Purview van “compliance tool” naar security engine.
Thema D — Workload security (Teams/SPO/OD) als één geheel
v6 erkent eindelijk dat: Teams, SharePoint en OneDrive niet drie systemen zijn, maar één samenwerkingsplatform.
Daarom:
- Teams external access is strenger
- SPO/OD default links worden zero-trust
- Unmanaged devices worden beperkt
- Anonymous sharing wordt uitgefaseerd
- Site-level policies moeten aligned zijn met tenant-level
Alles wijst naar: Minimale toegang + sterke auditability + device awareness.
Thema E — Monitoring, XDR & Sentinel als impliciete basis
Zoals beschreven in Blog 10:
- v6 is monitor-first
- audit logs zijn cruciaal
- risk signals bepalen toegang
- MCAS + XDR + Sentinel zijn de detectielaag
v6 koppelt controls aan detectie, niet alleen aan bescherming.
🧮 Hoofdstuk 4 — Prioriteitsmatrix: Waar moet je beginnen?
We gebruiken een Risk vs. Impact-model dat rekening houdt met:
- aanvalslikelyhood
- impact op detectie
- afhankelijkheden
- gebruikersimpact
- implementatiecomplexiteit
High Priority (Onmiddellijk starten)
| Domein | Control | Waarom? |
| Entra | Sign-in risk, user risk policies | Detecteert 80% van identity attacks |
| Defender O365 | Outbound spam limits | Voorkomt reputatie- en compliance-schade |
| Teams | Block trial tenants | Aanvallers misbruiken deze massaal |
| SharePoint/OD | Default link = Specific People | Grootste bron van datalekken |
| Intune | Device compliance enforced | Basis voor CA & toegang |
| Intune | LAPS + local admin restrictions | Voorkomt post-breach escalatie |
| Purview | Audit enabled + DLP voor Teams/SPO/OD | Detectielaag, forensic basis |
| Defender | Safe Links/Safe Attachments strikt | Kernbescherming tegen phishing |
Medium Priority (Binnen 3–6 maanden)
| Domein | Control | Waarom? |
| MCAS | Enable + configure | Detectie & Shadow IT |
| Purview | Sensitivity labels enforced | Datalekpreventie |
| Teams | Meeting security configureren | Minimaliseert social engineering risico’s |
| Entra | Admin role governance | Least privilege alignment |
| SPO/OD | Domain allow/block lists | Voorkomt ongecontroleerde externe sharing |
Low Priority (6–12 maanden)
| Domein | Control | Waarom? |
| Endpoint | ASR rules fine tuning | Bescherming tegen geavanceerde aanvallen |
| CA | Location-aware policies | Optimalisatie |
| Defender | Priority account advanced governance | Fijnslijpen protections voor VIP’s |
🧭 Hoofdstuk 5 — Mapping: Alle CIS v6 controls naar Microsoft Security producten
Hier volgt de uitgebreide mapping die organisaties vaak missen.
🔐 Entra ID
| CIS v6 Thema | Microsoft Product | Effect |
| Sign-in Risk Policy | Entra ID P2 | Risk-based CA |
| User Risk Policy | Entra ID P2 | Compromised user response |
| Guest restrictions | Entra ID Governance | Least privilege, auditing |
| Admin governance | Entra ID Roles | Privileged Access Security |
| Device join restricties | Entra ID + Intune | Device trust |
🛡 Defender (XDR)
| CIS v6 Thema | Product | Effect |
| Anti-phishing & Safe Links | Defender O365 | Mail attack prevention |
| Outbound anti-spam | Defender O365 | Compromise signal |
| Device risk | Defender for Endpoint | Endpoint detection |
| OAuth governance | Defender for Cloud Apps | Token misuse detection |
📁 SharePoint / OneDrive / Teams
| CIS v6 Thema | Product | Effect |
| External sharing | SPO/OD + Teams | Zero Trust collaboration |
| Device-based access | CA + Intune | Protecting data at rest |
| Meeting security | Teams | Minimizes infiltration |
| File governance | Purview + SPO | Data-centric governance |
🔍 Monitoring
| CIS v6 Thema | Product | Effect |
| Audit logging | Purview Audit | Forensics |
| Correlatie | Sentinel | XDR analytics |
| Cloud app monitoring | MCAS | Shadow IT prevention |
| UEBA | Sentinel + Entra | User behaviour analysis |
🧭 Hoofdstuk 6 — Implementatie Roadmap voor Organisaties
Deze roadmap is gebaseerd op duizenden implementaties en de volgorde waarin controls logisch, technisch en organisatorisch kunnen worden doorgevoerd.
Fase 1 — Identity & Mail (0–30 dagen)
- MFA enforced
- Disable legacy auth
- Sign-in risk policy
- User risk policy
- Outbound spam limits
- Anti-phishing baseline
- Safe Links & Safe Attachments
- Basic guest restrictions
Impact: → Je sluit 60% van generieke aanvallen uit.
Fase 2 — Device & App Security (30–90 dagen)
- Device compliance policies
- LAPS deployment
- Local admin restrictions
- App Protection Policies (MAM)
- CA: Require compliant device
- CA: Require approved app
Impact: → Device trust wordt een harde voorwaarde voor toegang.
Fase 3 — Collaboration & Data Protection (90–180 dagen)
- Default link = Specific People
- Anonymous links uit
- Domain allow/blocking
- DLP voor Teams, SPO, OD
- Purview label framework
- Teams meeting security
- External domain governance
Impact: → Data wordt beschermd, ongeacht waar het zich bevindt.
Fase 4 — Monitoring & XDR (180–365 dagen)
- Sentinel workspace
- Connectors: Entra, Defender, SPO, OD, Teams, Exchange
- UEBA-enabled
- MCAS integratie
- Incident playbooks
- XDR hunting queries
- MITRE mapping
Impact: → Je SOC ziet aanvallen zoals ze écht plaatsvinden.
🧠 Hoofdstuk 7 — Aanbevelingen voor bedrijven die overstappen naar v6
Hier is mijn advies voor organisaties, gebaseerd op 10 blogs en honderden implementaties.
1. Begin bij identity, niet bij endpoints
Identity is de toegangspoort. Zonder risk-based access worden alle andere investeringen waardeloos.
2. Hardening verandert niets zonder monitoring
CIS v6 vereist auditability en XDR — zonder detectie blijf je blind.
3. Teams governance moet worden verheven tot topprioriteit
Teams is de snelst groeiende aanvalsvector in Microsoft 365.
4. Data-centric security is de toekomst
Purview wordt een core securityproduct, geen compliance-extra.
5. Device trust is geen keuze meer
Compliance is nu een hard security boundary.
🎯 Hoofdstuk 8 — De eindconclusie: Waarom v6 relevanter is dan ooit
CIS Benchmark v6 vertegenwoordigt een nieuwe generatie beveiligingsbaseline.
Het sluit perfect aan op:
- Zero Trust
- moderne cloud dreigingen
- identity-first security
- device trust
- data governance
- XDR en Sentinel analytics
Waar v5 vooral “best practices” beschreef, is v6 een operationele security base.
Het dwingt organisaties om:
- risico’s holistisch te behandelen
- workloads te beschermen als één geheel
- identity en device te combineren
- data centraal te stellen
- monitoring te verheffen tot noodzaak
- external access te minimaliseren
En boven alles: v6 maakt van Microsoft 365 een volwassen beveiligd platform, niet een verzameling instellingen. Het is de brug tussen baseline en operational security, tussen configuratie en detectie, tussen theorie en praktijk.