Jordy Herber“Een baseline beveiligt je omgeving niet — monitoring wél.”
CIS Benchmarks zijn een beveiligingsbaseline. Ze beschrijven welke instellingen je moet hanteren om risico’s te verkleinen. Maar wat veel organisaties vergeten — en wat CIS Benchmark v6.0.0 veel duidelijker maakt dan eerdere versies — is dat configuratie alléén niet genoeg is.
Zonder monitoring weet je niet of instellingen daadwerkelijk werken.
Zonder detectie weet je niet of je bent aangevallen.
Zonder XDR weet je niet hoe aanvalssignalen aan elkaar verbonden zijn.
Zonder Sentinel heb je geen zicht op cross-workload anomalieën.
Daarom is Blog 10 volledig gewijd aan de rol van Microsoft Sentinel en Microsoft 365 Defender XDR binnen CIS v6. Waar de eerste 9 blogs gingen over preventieve controls, gaat dit blog over detectie, correlatie en incidentrespons, oftewel: wat gebeurt er ná de baseline?
🧭 Overzicht: Monitoring en detectie in CIS v6
CIS v6 introduceert geen grote, nieuwe secties specifiek voor Sentinel, maar onder de motorkap zijn veel controls afhankelijk geworden van:
- audit logs (Purview Audit)
- identity sign-in logs (Entra)
- device risk signals (Intune + Defender)
- mailflow en threat logs (Defender for Office 365)
- cloud app events (Defender for Cloud Apps)
- Teams-, SharePoint- en OneDrive-logboeken
In v6 wordt monitoring een minimumvereiste, geen aanbeveling.
| Domein | v5 | v6 | Verschil |
| Audit logging | Aanwezig | Sterker en vollediger | Meer workloads |
| Identity logs | Basis | Strengere afhankelijkheden | MFA, CA, risk policies |
| Device logs | Indirect | Meer nadruk op compliance & risk | Endpoint-driven |
| Email logs | Hoog | Hogere granularity | XDR integratie |
| Cloud app logs | Adviserend | Verplicht ‘enabled’ | Shadow IT monitoring |
| Correlatie & detectie | Nauwelijks benoemd | Impliciet essentieel | XDR & Sentinel |
📜 1. Audit Log Centralization — De basis van detectie in v6
Zowel v5 als v6 bevatten:
Ensure Microsoft 365 audit log search is enabled
(v5 – 3.1.1, v6 – 3.1.1)
Maar v6 gaat verder dan “log zitten aan”.
Belangrijke verschillen in v6:
- Audit log coverage is uitgebreid naar meer workloads (Teams, SPO, Entra, Defender events)
- Unified Audit Logging is impliciet vereist
- Logs moeten worden gebruikt binnen compliance én security
- Logs vormen de basis voor incidentrespons
Waarom?
Omdat Sentinel, XDR en UEBA alleen werken als ze over complete data beschikken.
🔐 2. Identity Monitoring — Sign-in risk wordt essentieel
CIS v6 benadrukt MFA en Conditional Access meer dan ooit. Maar deze controls zijn slechts effectief als risicosignalen worden gemonitord:
- Sign-in risk
- User risk
- Token anomalies
- Legacy protocol attempts
- Impossible travel
- Suspicious IP behaviour
V6 bevat meerdere nieuwe en aangescherpte controls in Entra die afhankelijk zijn van monitoring:
Ensure sign-in risk policy is enabled
Ensure user risk policy is enabled
(v6 – 5.2.2.6, 5.2.2.7)
Monitoring is dus niet optioneel, maar een harde voorwaarde.
Entra logging in Sentinel:
- Sign-in logs
- Audit logs
- Provisioning logs
- Risky sign-ins
- Risky users
🛡 3. Defender XDR — De detectielaag van CIS v6
Waar CIS v5 vooral gefocust was op configuratie, maakt v6 het duidelijk dat:
bescherming pas effectief is als incidenten worden gedetecteerd én gecorreleerd.
Microsoft 365 Defender (XDR) speelt hierin een centrale rol.
Hoe XDR aansluit op CIS v6:
3.1. E-mailbeveiliging
Nieuwe controls zoals outbound spam limiting (v6 – 2.1.15) zorgen voor betere signalen in:
- Compromised mailbox detection
- Spam burst detection
- Auto-forward anomalies
3.2. Endpoint detection
Device compliance, local admin governance en LAPS maken endpoints betrouwbaarder voor:
- Device risk scoring
- Behavioural anomaly detection
- ASR enforcement
3.3. Cloud app detection
Omdat MCAS nu “enabled and configured” moet zijn (v6 – 2.4.3), kan XDR:
- Risky OAuth app detection
- Impossible token usage herkennen
- Shadow IT detecteren
📊 4. Sentinel — De analysemotor bovenop de Microsoft Security Stack
Hoewel CIS v6 geen hoofdstuk “Sentinel” bevat, blijken tientallen controls afhankelijk van centrale monitoring:
4.1. SharePoint/OneDrive logs → detectie van:
- anomalous sharing
- data exfiltration
- file activity deviations
4.2. Teams logs → detectie van:
- external communication anomalies
- meeting infiltration attempts
- strange guest behaviour
4.3. Defender alerts → correlatie:
- phishing → device → identity → cloud app chain
- OAuth-based attacks
- Business Email Compromise
4.4. Identity logs → UEBA:
- rare sign-in patterns
- lateral movement inside cloud workloads
- suspicious device registration
🧩 5. De CIS v6 → XDR → Sentinel Detectieketen
Bijna elke control in v6 draagt op één van de drie manieren bij aan monitoring:
A. Controls die risk signals genereren
Voorbeelden:
- Audit log enablement
- Safe Links/Safe Attachments
- Anti-phishing policies
- MCAS session controls
B. Controls die detectie betrouwbaarder maken
Voorbeelden:
- LAPS configuratie
- Local admin restrictions
- Blocking legacy authentication
- Device compliance policies
C. Controls die correlatie verbeteren
Voorbeelden:
- Consistent guest governance
- Tenant-level sharing restrictions
- Centralized domain allow/block policies
🧪 6. Waarom CIS v6 zoveel nadruk legt op detectie (in plaats van alleen preventie)
CIS v6 is gebaseerd op real-world attack chains. Aanvallers hakken tegenwoordig niet in op een zwakke instelling alleen — ze misbruiken een hele keten:
- Phishingmail wordt doorgelaten via een misgeconfigureerde policy
- Account wordt gecompromitteerd
- Device wordt geregistreerd om persistentie te creëren
- OAuth-app wordt toegevoegd
- Files worden gedeeld met externe partijen
- Privileged account wordt misbruikt
- Data wordt geëxfiltreerd via SharePoint of Teams
Zonder XDR en Sentinel zou je elk deel los zien.
Met monitoring zie je: De volledige aanvalsketen — precies wat moderne security vereist.
🧮 7. Tabel: Mapping van CIS v6 controls naar XDR & Sentinel detecties
| CIS Control | Trigger in XDR | Insight in Sentinel |
| Audit logging enabled | Audit-independent signals | Timeline & UEBA |
| Safe Links/Safe Attachments | Malware/phishing alerts | URL & file activity correlation |
| Outbound spam limits | Compromised mailbox alerts | Spam campaign analytics |
| MCAS required | OAuth app misuse | Cloud app anomaly detection |
| Device compliance | Device risk events | Endpoint → identity correlation |
| Local admin restrictions | Reduced escalation surface | Behaviour deviations |
| External sharing governance | Exfiltration detection | File access & sharing analytics |
| Guest governance | Abnormal guest activity | Cross-tenant behavioural alerts |
| Conditional Access | Risk-based blocks | Sign-in anomaly tracking |
📌 8. CIS v6 verplicht monitoring zonder het expliciet te zeggen
Hoewel Sentinel niet genoemd wordt, kun je de implicaties niet negeren:
Zonder Sentinel kun je:
❌ CA risk events niet analyseren
❌ DLP anomalies niet correleren
❌ MCAS events niet centraal monitoren
❌ Identity → device → app-events niet koppelen
❌ Guest behaviour niet analyseren
❌ BEC-aanvallen onvoldoende detecteren
Met Sentinel kun je:
✔ alle CIS-beveiligingssignalen centraal analyseren
✔ tenantbrede risico’s visualiseren
✔ MITRE ATT&CK mapping toepassen
✔ XDR alerts verrijken
✔ Zero Trust maturity meten
🧠 Conclusie — CIS v6 laat zien dat je zonder monitoring géén security hebt
De moderne Microsoft 365-omgeving bestaat uit:
- identiteit (Entra)
- device (Intune)
- data (Purview)
- bescherming (Defender)
- detectie (XDR)
- analyse (Sentinel)
CIS v6 versterkt de eerste vier pilaren, maar zonder de laatste twee heb je geen werkelijk beveiligingsprogramma.
CIS Benchmark v6 maakt Sentinel + XDR impliciet tot:
- de centrale detectielaag,
- de correlatiemotor,
- de incidentresponsbasis,
- en de manier waarop je verifieert dat je baseline werkt.
Preventie is belangrijk — maar detectie is cruciaal.
Daarom sluit Blog 10 deze serie af met de kernboodschap:
Een baseline beveiligt systemen. Monitoring beveiligt organisaties.