报表

概述

PAM360为企业提供了有关特权账号及密码管理过程整个生命周期中相关的数据报表。如各类活动及数据摘要报表：密码清单、策略合规性、密码到期、用户活动性等，以表格和图表的形式提供，帮助IT管理员识别并采取相关措施应对异常或为管理制定合理规划。

PAM360内置了14 种数据报表，主要分为四大类。此外，还有提供创建自定义报表的能力。

PAM360中提供以下类型的报表:

内置报表
1.1密码报表

1.2用户报表

1.3综合报表

1.4合规性报表
自定义报表

1.内置报表

PAM360 提供四种类型的内置报表:

1.1密码报表

与设备属性（如硬件属性、固件详细信息、设备审核详细信息等）相关的所有详细信息归集在密码报表分类下，访问密码报表:

导航到报表 >> 密码报表。

您将在此报表类别下看到多个报表类型，参考下表了解每个报表所表达的内容：

报表名称	它覆盖什么内容	其它信息
密码清单报表	此报表提供有关PAM360中管理的资源、密码、资源类型和用户总数的详细信息。此外，它还提供有关每个密码/资源的所有权的信息，以及有关访问的详细信息。本报表由以下部分组成：密码清单 - 摘要报表该部分显示有关资源总数、密码总数、用户总数和资源类型总数的详细信息。按照资源类型的密码分布该部分提供一个饼图，显示基于资源类型的资源数量。密码所有权和用户访问详细信息该部分列出 PAM360 中所有资源密码、资源类型和用户的详细信息。此外，它还提供有关每个密码/资源的所有权的详细信息，以及有关访问的详细信息。	此报表可以导出为PDF或XLS文件，也可以通过电子邮件发送给所需的收件人，单击链接导出到 PDF"/导出到 XLS和"通过邮件发送此报表以执行所需的操作。
策略合规性报表	此报表用于呈现密码符合管理员设置的密码策略与否的详细信息。此外，它还提供有关每个密码所有权的信息。此外，对于被发现不符合的密码，还提供有关不合规的详细信息。这有助于管理者采取必要的纠正措施，使其符合要求。本报表由四个部分组成：密码策略合规性摘要该部分列出有关密码总数、符合策略的密码总数以及不符合的密码总数的详细信息。按资源类型显示违反策略的资源数量该部分提供饼图，显示基于资源类型的不符合定义策略的密码数。密码策略列表该部分列出已创建的所有策略。点击每个策略的名称，展开每个策略的详细信息。策略合规性状态该部分列出所有资源的合规性详细信息（无论它们是否符合定义的策略）。它以表格形式描述了每个资源中的违规数量以及资源和密码的所有权详细信息。您可以通过单击表格右上角的图标来在此报表中进行搜索。	此报表可以导出为PDF或XLS文件，也可以通过电子邮件发送给所需的收件人，单击链接导出到 PDF"/导出到 XLS和"通过邮件发送此报表以执行所需的操作。
密码过期报表	此报表提供有关密码有效性的相关数据，即供有关已过期的密码和有效的密码的详细信息。本报表由以下部分组成：密码过期 -摘要该部分简要列出有关密码总数、过期的密码总数和有效密码总数的数字。资源类型与过期状态该部分提供一个饼图，显示每种资源类型中过期密码的数量。密码的过期状态列表该部分列出所有资源的到期/有效性详细信息。它以表格形式描述了每个资源中过期/有效密码的数量以及资源和密码的所有权详细信息。您可以通过单击表格右上角的图标来在此报表中进行搜索。	此报表可以导出为PDF或XLS文件，也可以通过电子邮件发送给所需的收件人，单击链接导出到 PDF"/导出到 XLS和"通过邮件发送此报表以执行所需的操作。
密码活动性报表	此报表提供有关系统中所有密码的使用情况数据，它提供有关特定时间段内最常访问的密码、访问最少的密码、每天/每周的平均访问数以及密码的重置频率等。本报表有六个部分: 活动统计 - 摘要报表该部分列出有关密码总数、每天/每周平均访问次数、平均密码寿命、支持重置的密码数、使用代理重置的密码数、非代理重置的密码数、密码重置失败等的数量。访问最多的密码该部分提供一个图表，显示访问最多的前 10 个密码。频繁重置密码该部分提供一个图表，显示最重置次数最多的前 10 个密码。最少访问密码该部分提供一个图表，显示被访问最少的 10 个密码。很少更改的密码该部分提供一个图表，显示重置次数最少的 10 个密码。密码活动性详细信息该部分提供有关与目标系统同步的密码的以下详细信息：创建密码的日期、从创建之日起访问密码的数量、密码发生更改的数量、最后访问/更改密码的时间、每天访问密码的频率、每周更改密码的频率等。已激活访问控制工作流的资源列表该部分列出已激活密码访问控制工作流的所有资源已停用访问控制工作流的资源列表该部分列出已停用密码访问控制工作流的所有资源尚未配置访问控制工作流的资源列表该部分列出了尚未配置密码访问控制工作流的所有资源	此报表可以导出为PDF或XLS文件，也可以通过电子邮件发送给所需的收件人，单击链接导出到 PDF"/导出到 XLS和"通过邮件发送此报表以执行所需的操作。
密码不同步	对于存储在PAM360系统种的服务器、数据库、网络设备和其他应用程序等资源的密码，具有这些资源的管理访问权限的用户可以直接访问资源并更改管理帐户的密码。在这种情况下，存储在 PAM360 中的密码将面临冲突的风险，对后续访问PAM360的密码的用户也将产生影响。PAM360 提供检查密码完整性的功能，您可以在任意时刻按需进行检查或定制定期计划，进行周期性检查。您可以创建计划任务以定期执行密码的完整性检查。单击计划报表并填写详细信息。您还可以通过单击链接"生成报表。这样，PAM360将在设定的时间开始执行远程密码完整性检查，即PAM360中记录的密码是否与远程主机一致。当检查结束后，您就可以在报表中查看最新的结果。如果需要按需进行密码的完整性检查，可以点击查找不同步的密码。 PAM360 将尝试连接已启用远程密码重置的所有帐户并与目标系统建立连接。如连接失败，PAM360将认为该密码不同步。如果由于某些网络问题或PAM360无法与目的系统建立连接的情况，则不会被视为密码不同步。检查结果将进行合并，并通过邮件通知给所有管理员和具有审计角色的用户。如果系统中的密码与目标系统中相应的密码同步，"密码不同步"报表可提供信息。本报表有以下部分: 密码完整性统计该部分列出有关支持重置的密码总数、使用代理重置的密码数、使用代理重置的密码数、系统中的密码数与目标系统中的相应密码同步或不同步的数量等。未同步密码分布该部分显示一个饼图，该饼图描绘了不同步的密码按照资源类型分布的数量。密码不同步的详细信息该部分提供密码列表清单，其中指出了哪些密码不同步，谁拥有密码，以及对应的资源类型。	此报表可以以 PDF 或电子表格的形式生成，也可以通过电子邮件发送给所需的收件人。单击链接导出到 PDF"和通过邮件发送此报表以执行所需的操作。
未分组的密码报表	提供有关组织密码访问控制工作流场景的完整信息，它包括已启用访问控制的资源列表、已激活/停用访问控制的资源、请求自动审批的资源、已审批/拒绝的密码释放请求列表等。	此报表可以以 PDF 或电子表格的形式生成，也可以通过电子邮件发送给所需的收件人。单击"导出到 PDF"/导出到 XLS 和"通过邮件发送此报表"以执行所需的操作。
未共享的密码	存储在PAM360中的密码，可能存在未与任何人共享的情况，此报表列出了此类未共享的密码。

1.2用户报表

报表名称

它覆盖什么内容

其它信息

用户访问报表

此报表提供系统中所有用户的详细信息，以及相关密码和资源访问详情。

本报表由以下部分组成：

用户统计信息 - 摘要报表

该报表数据包括最近五天内新增用户、用户删除、角色更改、无效登录尝试、执行密码重置、未登录的用户的数量，以及系统中的用户/用户组总数、各用户角色对应的用户数等。

用户活动性摘要报表

此报表用于指示用户对密码执行的操作，如密码检索、密码重置等。此报表提供每个用户执行此类操作的数量。此外，还有从用户组角度对用户活动性的信息汇总。

用户访问详细信息

该报表主要呈现每个用户所拥有的资源/资源组，以及其对账户的访问级别。

用户组访问详细信息

此报表包含用户组下的用户，以及该用户组关联的资源组，以及针对资源组的访问级别信息。

此报表可以导出为PDF或XLS文件，也可以通过电子邮件发送给所需的收件人，单击链接导出到 PDF"/导出到 XLS和"通过邮件发送此报表以执行所需的操作。

用户活动性报表

此报表提供有关系统中所有用户密码使用情况的详细信息。

此报表有以下部分:

活动统计 - 摘要报表

用户和用户组在指定时间段内访问的密码总数图表。

最活跃的用户 - 登录/访问/重置

执行登录尝试、密码访问和密码重置次数最多的前 10 名用户排名。

活动最少的用户用户用户 - 登录/访问/重置

执行登录尝试、密码访问和密码重置最少的 10 个用户的排名。

用户活动详细信息

描述了有关用户的所有详细信息，包括登录总数、无效登录数、密码访问数、密码重置数。

此报表可以以 PDF 或电子表格的形式生成，也可以通过电子邮件发送给所需的收件人。单击链接导出到 PDF"/导出到 XLS 和"通过邮件发送此报表以执行所需的操作。

未分组的用户

PAM360中的用户可以通过用户组进行组织管理，某些用户可能不是任何用户组的一部分。此报表中列出了此类用户及其拥有的密码。

1.3 综合报表

报表名称

它覆盖什么内容

其它信息

执行报表

此报表提供系统中所有密码访问和用户活动的快照。

它是密码和用户报表的组合报表。总之，它提供以下详细信息:

密码告警统计、密码活动、密码策略、密码过期、密码不同步、用户统计和用户活动。

此报表可以导出为PDF或XLS文件，也可以通过电子邮件发送给所需的收件人，单击链接导出到 PDF"/导出到 XLS和"通过邮件发送此报表以执行所需的操作。

1.4 合规性报表

报表名称

它覆盖什么内容

其它信息

PCI DSS 合规性报表

PCI DSS 代表支付卡行业数据安全标准。它是一个广泛的行业安全标准，包括安全管理、策略、程序、网络架构、软件设计和其他关键保护措施的要求。它代表了企业处理信用卡持卡人信息并确保数据受到保护所需要遵守的的一套规则。 PCI 数据安全标准由 12 项总要求组成，旨在:

构建和维护一个安全的网络
保护持卡人数据
确保漏洞管理计划的维护
实施严格的访问控制措施
定期监控和测试网络
确保信息安全策略的维护

本标准由 PCI 安全标准委员会制定。 https://www.pcisecuritystandards.org/

本报表根据自支付卡行业（ PCI ）数据安全标准（ DSS ）的要求，汇报系统中与该标准冲突的内容，涉及各种系统的共享管理、软件和服务帐户密码的使用和管理实践等。

本报表涵盖 PCI DSS 要求2、3、7、8、10和12章节内容。。

注意：为了完全遵守"所有"的 PCI DSS 标准的要求，您需要与其他工具和安全程序结合使用。

您可以选择为每个 PCI DSS 要求 2，3，7，8， 10&12生成单独的合规性报表。您还可以生成合并的 PCI DSS 报表。

此报表可以导出为PDF或XLS文件，也可以通过电子邮件发送给所需的收件人，单击链接导出到 PDF"/导出到 XLS和"通过邮件发送此报表以执行所需的操作。

ISO/IEC 27001 合规性报表ISO/IEC 27001 是一项规范，旨在为"建立、操作、监控、审查、维护和改进信息安全管理系统（ ISMS ）" 提供指引。简单地说， ISO 27001 是一个强大的框架，可帮助您保护财务数据、知识产权或敏感客户信息等信息。该标准还强调选择有助于保护信息资产的安全控制。总的来讲，ISO 27001有十条短条款以及附件A。仅附件A就规定了许多控制框架。其中，A.9主要定义"访问控制"相关内容，该条款基本上要求使用

具有一个强健的安全访问控制策略，确保仅授权用户才能访问关键系统。
所有用户都能够唯一标识，为所有的特权活动建立了追责机制。
只能通过安全机制访问系统。
敏感信息受加密控制保护。

此报表指示与条款 A.9 中定义的关于访问控制要求相关的机构的合规性级别。合规性将基于多种因素，如企业中针对特权帐户的严格的密码策略、真实的审计记录、强壮的身份验证机制、安全的特权访问和数据安全级别。有关ISO/IEC 27001合规性的综合报表将包括有关 A.9.1、A.9.1.1、A.9.1.2、A.9.2、A.9.2.1、A.9.2.2、A.9.2.3、A.9.2.4、A.9.2.5、A.9.2.6、A.9.3、A.9.3.1、A.9.4、A.9.4.1、A.9.4.2和9.4.3。此外，您也可以基于以上章节内容，生成单独的合规性报表。

此报表可以以 PDF 或电子表格的形式生成，也可以通过电子邮件发送给所需的收件人。单击"导出到 PDF"/导出到 XLS 和"通过邮件发送此报表"以执行所需的操作。
这些合规性报表仅适用于特定的安全标准条款的要求。为了遵守 ISO 27001 的“所有”要求，您应结合其他工具和安全程序。

NERC CIP 合规性报表NERC CIP 标准是一套旨在确保电力系统的安全性和可靠性的要求。北美电力可靠性公司（ NERC ）推出了关键基础设施保护（ CIP ）标准，主要保护电网中的电力发电和输电系统等关键资产。从广义上讲， NERC CIP 有九个部分，涵盖各种物理、虚拟和必须采取的组织措施，以确保大容量电力系统的安全。特别是条款 CIP-004-3a、CIP-005-3a和CIP-007-3a

定期审查有权访问关键系统的授权人员。
基于功能角色的细粒度访问控制。
可靠的身份验证方法。
安全事件的全面审核。
监控用户在执行特权会话访问期间的活动。
使用具有可靠且复杂性的强密码。

此报表显示组织对条款 CIP-004-3a、 CIP-005-3a 和 CIP-007-3a 等特定要求的合规性级别。该报表可帮助审核员了解相关组织实施的各种安全措施，如特权访问控制策略、特权用户的身份验证检查、用户活动性审核、特权会话记录和监控，以及密码策略的实施情况。除了综合的 NERC CIP 报表外，还可针对每个条款（即 CIP-004-3a、 CIP-005-3a 和 CIP-007-3a）的要求生成单独的合规性报表。

此报表可以以 PDF 或电子表格的形式生成，也可以通过电子邮件发送给所需的收件人。单击链接导出到 PDF"/导出到 XLS和"通过邮件发送此报表以执行所需的操作。这些合规性报表仅针对条款中部分章节的要求提供帮助，为遵守 NERC CIP 的"所有"要求，您应结合其他工具和安全程序。

计划报表生成

所有的报表都可以通过计划方式定期生成，这些生成的报表可以通过邮件发送给相应的收件人。创建计划报表：

导航到报表选项卡。
单击每个报表名称下的链接-计划报表。

在打开的弹出窗口中，从提供的条款中选择所需的计划 - 天 /每月 /一次性 /不使用。
接下来，设置计划的时间、日期等。
选择邮件报表附件的格式，可选择 PDF 或 XLS 或两者同时发送的格式。
从给定的选项中选择报表的收件人。
您或者可以选择使用指定电子邮件地址，输入收件人的电子邮件地址。
单击保存。

这里创建的计划报表，将被作为计划任务，保留审计记录，可从审计的"任务审计"部分查看。

终止现有计划的步骤

单击报表名称下的计划报表（对于需要停止计划的报表）。
在打开的窗口中，选择选项不使用。
单击保存，计划将终止。

2.自定义报表

除了四个内置报表（密码清单、密码合规性、密码过期和密码完整性）和两份审计报表（资源审计和用户审核）之外，您还可以基于以上报表来创建自定义报表。

自定义报表旨在根据您的需要从 PAM360 数据库显示特定信息。内置报表提供一般详细信息的快照。另一方面，您可以从此内置报表中创建自定义报表，以获得具体细节。

示例

示例：1

让我们从密码清单报表中创建自定义报表。假设您想要获得有关"网络管理"部门中"用户 A"拥有的资源的报表。您可以指定部门条件为"网络管理"，"所有者"条件为"用户 A"，从"密码清单报表"创建自定义报表。

自定义报表的能量在于能够基于您的条件表达式，排除杂项信息，满足您更加具体的需求。

示例：2

2.假设您需要特定管理员（例如 John ）所拥有的一些资源类型，如Windows、Windows 域、 Linux 、Cisco中所有的敏感密码，以及这些密码以什么样的访问级别设置，分享给了谁。

这里我们分析该需求的条件如下:

资源的敏感账号，Windows/Windows域的administrator、Linux的root账号，以及Cisco设备上的enable账号。

资源的所有者 - John

可在PAM360中执行以下操作：

标识 Windows/Windows 域上的"adminitrator"帐户，标准为

资源类型以Windows开始（称之为 C1）

帐户名称是administrator（称之为 C2）

标识 Linux 上的"root"帐户，标准为

资源类型是 Linux （称之为 C3）

账户名称是 root（称之为 C4）

标识Cisco设备上的"enable"帐户，标准为

资源类型包含Cisco（称之为 C5）

帐户名称是 enable （成为之 C6）

标识 John 所拥有的资源

所有者是 John （称之为 C7）

接下来，通过条件表达式，我们组装以上条件如下：

（（C1 和 C2）或（ C3 和 C4）或（C5 和 C6）和 C7

创建自定义报表的步骤

导航到报表 >> 定制报表。
单击左上角的创建自定义报表按钮。

在打开的窗口中，输入自定义报表的名称以及一个简要描述。
选择需要创建自定义报表的报表类型。
指定基于需求的报表条件。如上述示例，指定报表条件。如果要为同一列名称指定多个条件，可使用英文逗号分隔每个值。在上面的示例中，生成与两个部门相关的报表 -网络管理和财务部门，请选择部门字段，设置值网络管理，财务。
如果条件设置较为复杂，可选择设置条件表达式。例如，以上示例。
然后选择报表中需包含的列，以及通过“选择的栏目”右侧的上下箭头来控制列的顺序。
单击保存以保存配置，单击生成报表以生成自定义报表。

自定义报表 -用例

通过自定义报表，您可以轻松应对诸多类型的审计需求，如：

退出审核报表

持续评估密码访问方面的脆弱性是重要的审计要求之一，当具有特权账号所有权的管理员离开组织时，必需采取相应的漏洞处理程序，这包括列出该用户相关的所有密码，包括不限于其所拥有的，然后启动密码修改的程序。

可以采用特定管理员在指定时间段内执行的所有密码管理操作相关数据报表，作为"退出审核报表"。自定义报表可帮助您生成报表以精确实现此目的，所有您需要做的就是从"资源审计"中获取相关数据。

指定自定义报表的时间段
选择操作类型"（C1）的条件为包含（条件字段留空，表示对所有操作进行汇总）
操作人（C2），即谁离开了组织

报表将为您指定管理员/用户，在指定时间段内对密码执行的所有操作记录。

资源审计"和"用户审核"的自定义报表对于审计需求是非常有用的，您可以利用它满足各项对应的审计要求。