Configurar um conector para importar dados de auditoria epic EHR (versão prévia)

Você pode configurar um conector de dados no portal de conformidade do Microsoft Purview importar registros de auditoria para a atividade do usuário no sistema EHR (Epic Electronic Healthcare Records) da sua organização. Os registros de auditoria do sistema Epic EHR incluem registros de eventos relacionados ao acesso aos registros de integridade de um paciente. Os registros de auditoria EHR épicos podem ser usados pela solução de Gerenciamento de Riscos Internos do Microsoft Purview para ajudar a proteger sua organização contra acesso não autorizado às informações do paciente.

A configuração de um conector Epic consiste nas seguintes tarefas:

  • Criar um aplicativo no Microsoft Entra ID para acessar um ponto de extremidade da API que aceita um arquivo de texto separado por guia que contém registros de auditoria Epic EHR.

  • Criando um arquivo de texto com todos os campos necessários conforme definido no esquema do conector.

  • Criando uma instância de conector Epic no portal de conformidade.

  • Executando um script para enviar registros de auditoria epic EHR para o ponto de extremidade da API.

  • Opcionalmente, agendar o script a ser executado automaticamente para importar registros de auditoria.

Se você quiser participar da versão prévia, entre em contato com a equipe em dcfeedback@microsoft.com.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de configurar o conector

  • O usuário que cria o conector Epic na Etapa 3 deve receber a função Administração do Conector de Dados. Essa função é necessária para adicionar conectores na página Conectores de dados no portal de conformidade. Essa função é adicionada por padrão a vários grupos de funções. Para obter uma lista desses grupos de funções, consulte Funções no Microsoft Defender para Office 365 e conformidade do Microsoft Purview. Como alternativa, um administrador em sua organização pode criar um grupo de funções personalizado, atribuir a função Administração do Conector de Dados e, em seguida, adicionar os usuários apropriados como membros. Para obter instruções, consulte a seção "Criar um grupo de funções personalizado do Microsoft Purview" em Permissões no portal de conformidade do Microsoft Purview.

  • Você precisa determinar como recuperar ou exportar os dados do sistema Epic EHR da sua organização (diariamente) e criar um arquivo de texto descrito na Etapa 2. O script executado na Etapa 4 enviará os dados no arquivo de texto para o ponto de extremidade da API.

  • O script de exemplo executado na Etapa 4 empurra os registros de auditoria Epic EHR do arquivo de texto para a API do conector para que ele possa ser usado pela solução de gerenciamento de risco interno. Este script de exemplo não tem suporte em nenhum programa ou serviço de suporte padrão da Microsoft. O script de amostra é fornecido COMO ESTÁ, sem garantia de nenhum tipo. A Microsoft também se isenta de todas as garantias implícitas, incluindo, sem limitação, quaisquer garantias implícitas de comercialização ou adequação a uma finalidade específica. Todo o risco decorrente do uso ou desempenho do script de amostra e da documentação permanece com você. De modo algum a Microsoft, seus autores ou qualquer outra pessoa envolvida na criação, produção ou veiculação dos scripts serão considerados responsáveis por quaisquer danos (incluindo sem limitações danos por perda de lucros comerciais, interrupção de negócios, perda de informações comerciais ou outras perdas pecuniárias) resultantes do uso ou da incapacidade de uso da documentação ou scripts de exemplo, mesmo que a Microsoft tenha sido alertada sobre a possibilidade de tais danos.

Etapa 1: criar um aplicativo no Microsoft Entra ID

A primeira etapa é criar e registrar um novo aplicativo no Microsoft Entra ID. O aplicativo corresponderá ao conector Epic que você cria na Etapa 3. A criação desse aplicativo permite que Microsoft Entra ID autentique a solicitação de push do arquivo de texto que contém registros de auditoria epic EHR. Durante a criação desse aplicativo Microsoft Entra, salve as informações a seguir. Esses valores serão usados em etapas posteriores.

  • Microsoft Entra ID do aplicativo (também chamada de ID do aplicativo ou ID do cliente)

  • Microsoft Entra segredo do aplicativo (também chamado de segredo do cliente)

  • ID do locatário (também chamada de ID do diretório)

Para obter instruções passo a passo para criar um aplicativo em Microsoft Entra ID, consulte Registrar um aplicativo com o plataforma de identidade da Microsoft.

Etapa 2: preparar um arquivo de texto com registros de auditoria epic EHR

A próxima etapa é criar um arquivo de texto que contenha informações sobre o acesso dos funcionários aos registros de integridade do paciente no sistema Epic EHR da sua organização. Como explicado anteriormente, você precisa determinar como gerar esse arquivo de texto do sistema Epic EHR. O fluxo de trabalho do conector épico requer um arquivo de texto com valores separados por guias para mapear esses dados no arquivo de texto com o esquema do conector necessário. O formato de arquivo com suporte é um arquivo .txt separado por pipe ou tab.

Observação

O tamanho máximo do arquivo de texto que contém os dados de auditoria é de 3 GB. O número máximo de linhas é de 5 milhões. Além disso, certifique-se de incluir apenas os dados de auditoria relevantes do seu sistema EHR de saúde.

A tabela a seguir lista os campos necessários para habilitar cenários de gerenciamento de risco interno. Um subconjunto desses campos é obrigatório. Esses campos são realçados com um asterisco (*). Se algum dos campos obrigatórios estiver ausente no arquivo de texto, o arquivo não será validado e os dados no arquivo não serão importados.

Campo Categoria
ACCESS_LOG. ACCESS_TIME*
ACCESS_LOG_METRIC. METRIC_NAME*
ACCESS_LOG. WORKSTATION_ID
ZC_METRIC_GROUP.NAME
ZC_ACCESS_ACTION.NAME
Esses campos são usados para identificar eventos de atividade de acesso em seu sistema Epic EHR.
PACIENTE. PAT_MRN_ID
PACIENTE. PAT_FIRST_NAME*
PACIENTE. PAT_MIDDLE_NAME
PACIENTE. PAT_LAST_NAME*
PACIENTE. ADD_LINE_1*
PACIENTE. ADD_LINE_2
PACIENTE. CIDADE*
PATIENT.ZIP*
ZC_STATE.NAME
ZC_COUNTRY.NAME
CLARITY_DEP. DEPARTMENT_NAME
Esses campos são usados para identificar informações de perfil do paciente.
ZC_BTG_REASON.NAME*
PAT_BTG_AUDIT. BTG_EXPLANATION
Esses campos são usados para identificar o acesso a registros restritos.
EMP. SYSTEM_LOGIN*
CLARITY_EMP. USER_ID
employee_last_name1
employee_first_name1
Esses campos são usados para identificar informações de perfil de funcionário para correspondência de endereços e nomes necessárias para determinar o acesso aos registros família/vizinho/funcionário.

Observação

Verifique se você está exportando apenas as métricas de log relevantes da Epic. 1Esse campo não está disponível por padrão no Epic. Você precisa configurar a exportação para garantir que o arquivo de texto contenha esse campo.

Etapa 3: Criar o conector Épico

A próxima etapa é criar um conector Epic no portal de conformidade. Depois de executar o script na Etapa 4, o arquivo de texto que você criou na Etapa 2 será processado e enviado por push para o ponto de extremidade da API configurado na Etapa 1. Nesta etapa, copie o JobId gerado ao criar o conector. Você usará o JobId quando executar o script.

  1. https://compliance.microsoft.com Acesse e selecione Conectores de dados na navegação à esquerda.

  2. Na página Conectores de dados em Conector épico, selecione Exibir.

  3. Na página conector Epic , selecione Adicionar conector.

  4. Na página Configurar a conexão , faça o seguinte e selecione Avançar:

    1. Digite ou cole a ID do aplicativo Microsoft Entra para o aplicativo do Azure que você criou na Etapa 2.

    2. Digite um nome para o conector Epic.

  5. Na página Examinar , examine suas configurações e selecione Concluir para criar o conector.

    Uma página status é exibida que confirma que o conector foi criado. Esta página contém duas coisas importantes que você precisa concluir a próxima etapa para executar o script de exemplo para carregar seus dados de registros de auditoria do Epic EHR.

    Examinar página com ID do trabalho e link para GitHub para script de exemplo

    1. ID do trabalho. Você precisará dessa ID do trabalho para executar o script na próxima etapa. Você pode copiá-lo desta página ou da página de sobrevoo do conector.

    2. Esquema de referência. Consulte o esquema para entender quais campos do sistema Epic são aceitos pelo conector. Isso ajudará você a criar um arquivo com todos os campos de banco de dados Epic necessários.

    3. Link para script de exemplo. Selecione o link aqui para acessar o site do GitHub para acessar o script de exemplo (o link abre uma nova janela). Mantenha essa janela aberta para que você possa copiar o script na Etapa 4. Como alternativa, você pode marcar o destino ou copiar a URL para poder acessá-la novamente quando executar o script. Este link também está disponível na página de sobrevoo do conector.

  6. Selecione Concluído.

    O novo conector é exibido na lista na guia Conectores .

  7. Selecione o conector Épico que você acabou de criar para exibir a página de flyout, que contém propriedades e outras informações sobre o conector.

Se você ainda não tiver feito isso, poderá copiar os valores da ID do Azure App e da ID do trabalho do Conector. Você precisará deles para executar o script na próxima etapa. Você também pode baixar o script da página de flyout (ou baixá-lo usando o link na próxima etapa.)

Você também pode selecionar Editar para alterar a ID do Azure App ou os nomes de cabeçalho de coluna que você definiu na página mapeamento de arquivos.

Etapa 4: executar o script de exemplo para carregar seus registros de auditoria epic EHR

A última etapa na configuração de um conector Epic é executar um script de exemplo que carregará os dados de registros de auditoria epic EHR no arquivo de texto (que você criou na Etapa 1) para a nuvem da Microsoft. Especificamente, o script carrega os dados para o conector Epic. Depois de executar o script, o conector Epic que você criou na Etapa 3 importa os dados de registros de auditoria epic EHR para sua organização Microsoft 365, onde ele pode ser acessado por outras ferramentas de conformidade, como a solução de gerenciamento de risco do Insider. Depois de executar o script, considere agendar uma tarefa para executá-la automaticamente diariamente para que os dados de término de funcionários mais atuais sejam carregados na nuvem da Microsoft. Consulte (Opcional) Etapa 6: Agende o script para ser executado automaticamente.

Observação

Conforme indicado anteriormente, o tamanho máximo do arquivo de texto que contém os dados de auditoria é de 3 GB. O número máximo de linhas é de 5 milhões. O script executado nesta etapa levará cerca de 30 a 40 minutos para importar os dados de auditoria de arquivos de texto grandes. Além disso, o script dividirá arquivos de texto grandes em blocos menores de 100 mil linhas e importará esses blocos sequencialmente.

  1. Acesse a janela que você deixou aberta da etapa anterior para acessar o site do GitHub com o script de exemplo. Como alternativa, abra o site marcado ou use a URL copiada. Você também pode acessar o script aqui.

  2. Selecione o botão Bruto para exibir o script no modo de exibição de texto.

  3. Copie todas as linhas no script de exemplo e salve-as em um arquivo de texto.

  4. Modifique o script de exemplo para sua organização, se necessário.

  5. Salve o arquivo de texto como um arquivo de script Windows PowerShell usando um sufixo de nome de arquivo de .ps1; por exemplo, EpicConnector.ps1.

  6. Abra um Prompt de Comando no computador local e vá para o diretório onde você salvou o script.

  7. Execute o comando a seguir para carregar os dados de auditoria Epic no arquivo de texto para a nuvem da Microsoft; por exemplo:

    .\EpicConnector.ps1 -tenantId <tenantId> -appId <appId>  -appSecret <appSecret>  -jobId <jobId>  -filePath '<filePath>'
    

A tabela a seguir descreve os parâmetros a serem usados com esse script e seus valores necessários. As informações obtidas nas etapas anteriores são usadas nos valores desses parâmetros.

Parâmetro Descrição
tenantId Essa é a ID da sua organização do Microsoft 365 obtida na Etapa 1. Você também pode obter a ID do locatário para sua organização na folha Visão geral no centro de administração Microsoft Entra. Isso é usado para identificar sua organização.
appId Esta é a ID do aplicativo Microsoft Entra para o aplicativo que você criou em Microsoft Entra ID na Etapa 1. Isso é usado por Microsoft Entra ID para autenticação quando o script tenta acessar sua organização do Microsoft 365.
appSecret Esse é o Microsoft Entra segredo do aplicativo para o aplicativo que você criou na ID de Microsoft Entra na Etapa 1. Isso também é usado para autenticação.
Jobid Esta é a ID do trabalho do conector Epic que você criou na Etapa 3. Isso é usado para associar os registros de auditoria Epic EHR carregados na nuvem da Microsoft ao conector Epic.
Filepath Esse é o caminho do arquivo para o arquivo de texto (armazenado no mesmo sistema que o script) que você criou na Etapa 2. Tente evitar espaços no caminho do arquivo; caso contrário, use aspas individuais.

Aqui está um exemplo da sintaxe do script do conector Épico usando valores reais para cada parâmetro:

.\EpicConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\epic_audit_records.txt'

Se o upload for bem-sucedido, o script exibirá a mensagem Carregar bem-sucedido .

Observação

Se você tiver problemas ao executar o comando anterior por causa de políticas de execução, consulte Sobre políticas de execução e Set-ExecutionPolicy para obter diretrizes sobre como definir políticas de execução.

Etapa 5: Monitorar o conector Épico

Depois de criar o conector Epic e pressionar seus registros de auditoria do EHR, você poderá exibir o conector e carregar status no portal de conformidade. Se você agendar o script para ser executado automaticamente regularmente, também poderá exibir o status atual após a última vez que o script foi executado.

  1. https://compliance.microsoft.com Acesse e selecione Conectores de dados na navegação à esquerda.

  2. Selecione a guia Conectores e selecione o conector Épico para exibir a página de sobrevoo. Esta página contém as propriedades e as informações sobre o conector.

  3. Em Última importação, selecione o link Baixar log para abrir (ou salvar) o log status para o conector. Esse log contém informações sobre cada vez que o script é executado e carrega os dados do arquivo de texto para a nuvem da Microsoft.

    O arquivo de log do conector épico exibe linhas numéricas do arquivo de texto que foram carregadas

    O RecordsSaved campo indica o número de linhas no arquivo de texto carregado. Por exemplo, se o arquivo de texto contiver quatro linhas, o valor dos RecordsSaved campos será 4, se o script tiver carregado com êxito todas as linhas no arquivo de texto.

Se você não tiver executado o script na Etapa 4, um link para baixar o script será exibido em Última importação. Você pode baixar o script e, em seguida, seguir as etapas para executar o script.

(Opcional) Etapa 6: agendar o script para ser executado automaticamente

Para garantir que os registros de auditoria mais recentes do sistema Epic EHR estejam disponíveis para ferramentas como a solução de gerenciamento de risco interno, recomendamos que você agende o script para ser executado automaticamente diariamente. Isso também exige que você atualize os dados de registro de auditoria Epic no mesmo arquivo de texto em um agendamento semelhante (se não o mesmo) para que ele contenha as informações mais recentes sobre as atividades de acesso de registros de pacientes por seus funcionários. O objetivo é carregar os registros de auditoria mais atuais para que o conector Epic possa disponibilizá-los para a solução de gerenciamento de risco interno.

Você pode usar o aplicativo Agendador de Tarefas no Windows para executar automaticamente o script todos os dias.

  1. No computador local, selecione o botão Iniciar do Windows e digite Agendador de Tarefas.

  2. Selecione o aplicativo Agendador de Tarefas para abri-lo.

  3. Na seção Ações , selecione Criar Tarefa.

  4. Na guia Geral , digite um nome descritivo para a tarefa agendada; por exemplo, script de conector épico. Você também pode adicionar uma descrição opcional.

  5. Em Opções de segurança, faça as seguintes coisas:

    1. Determine se você deve executar o script somente quando estiver conectado ao computador ou executá-lo quando estiver conectado ou não.

    2. Verifique se a caixa de seleção Executar com os privilégios mais altos está selecionada.

  6. Selecione a guia Gatilhos , selecione Novo e, em seguida, faça as seguintes coisas:

    1. Em Configurações, selecione a opção Diário e escolha uma data e hora para executar o script pela primeira vez. O script será executado todos os dias no mesmo horário especificado.

    2. Em Configurações avançadas, verifique se a caixa de seleção Habilitada está selecionada.

    3. Selecione Ok.

  7. Selecione a guia Ações , selecione Novo e, em seguida, faça as seguintes coisas:

    Configurações de ação para criar uma nova tarefa agendada para o script do conector épico.

    1. Na lista suspensa Ação , verifique se Iniciar um programa está selecionado.

    2. Na caixa Programa/script , selecione Procurar e vá para o local a seguir e selecione-o para que o caminho seja exibido na caixa: C:.0.exe.

    3. Na caixa Adicionar argumentos (opcional), cole o mesmo comando de script que você executou na Etapa 4. Por exemplo, .\EpicConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Epic\audit\records.txt"

    4. Na caixa Iniciar (opcional), cole o local da pasta do script que você executou na Etapa 4. Por exemplo, C:\Epic\audit.

    5. Selecione Ok para salvar as configurações da nova ação.

  8. Na janela Criar Tarefa , selecione Ok para salvar a tarefa agendada. Você pode ser solicitado a inserir as credenciais da sua conta de usuário.

    A nova tarefa é exibida na Biblioteca do Agendador de Tarefas.

    A nova tarefa para o script do conector de cuidados de saúde é exibida na Biblioteca do Agendador de Tarefas.

    A última vez que o script foi executado e a próxima vez que ele estiver programado para ser executado será exibido. Você pode selecionar duas vezes a tarefa para editá-la.

    Você também pode verificar a última vez que o script foi executado na página de sobrevoo do conector Épico correspondente no centro de conformidade.