Azure WAF仕様
案件でいくつか調べたので記録として残しておきます。
防御可能な攻撃と防げない攻撃
| 攻撃種類 | Azure WAFの対応状況 |
| SQLインジェクション | 対応可能 |
| OSコマンド・インジェクション | 対応可能 |
| ディレクトリ・トラバーサル | 対応可能 |
| セッション管理の不備 | 対応不可 |
| クロスサイト・スクリプティング (XSS) | 対応可能 |
| CSRF | 対応不可 |
| HTTPヘッダ・インジェクション | 対応可能 |
| メールヘッダ・インジェクション | 対応不可 |
| クリックジャッキング | 対応不可 |
| バッファオーバーフロー | 対応不可 |
| アクセス制御や認可制御の欠落 | 対応不可 |
WEBサーバに対するアクセスを自動学習し、通常と異なるアクセスがあった場合に検知可能となる機能があるか
WAF単体では自動学習と異常検知はないです。Microsoft Defender for Cloudとの連携が必要です。