Настройка соединителя для импорта данных аудита EHR Epic (предварительный просмотр)

Можно настроить соединитель данных на портале соответствия требованиям Microsoft Purview для импорта записей аудита действий пользователей в системе электронных медицинских карт (EHR) Epic вашей организации. Записи аудита системы EHR Epic включают записи о событиях, связанных с доступом к медицинской карте пациента. Записи аудита EHR Epic могут использоваться решением для управления внутренними рисками Microsoft Purview с целью защиты организации от несанкционированного доступа к информации пациентов.

Настройка соединителя Epic состоит из следующих задач.

  • Создание приложения в Microsoft Entra идентификатор для доступа к конечной точке API, которая принимает текстовый файл с разделив вкладками, содержащий записи аудита Epic EHR.

  • Создание текстового файла со всеми требуемыми полями, определенными в схеме соединителя.

  • Создание экземпляра соединителя Epic на портале соответствия требованиям.

  • Выполнение сценария для передачи записей аудита EHR Epic в конечную точку API.

  • При необходимости можно запланировать автоматическое выполнение сценария для импорта записей аудита.

Если необходимо принять участие в предварительном просмотре, свяжитесь с командой по адресу dcfeedback@microsoft.com.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Перед настройкой соединителя

  • Пользователю, который создает соединитель Epic на шаге 3, должна быть назначена роль администратора соединителя данных. Эта роль требуется для добавления соединителей на странице Соединители данных на портале соответствия требованиям. Эта роль по умолчанию добавляется в несколько групп ролей. Список этих групп ролей см. в разделе Роли в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview. Кроме того, администратор в организации может создать пользовательскую группу ролей, назначить роль администратора соединителя данных, а затем добавить соответствующих пользователей в качестве участников. Инструкции см. в разделе "Создание пользовательской группы ролей Microsoft Purview" в главе "Разрешения" на портале соответствия требованиям Microsoft Purview.

  • Пользователю необходимо определить способ получения или экспорта данных из системы EHR Epic организации (на регулярной основе) и создания текстового файла, описанного на шаге 2. Сценарий, выполненный на шаге 4, передаст данные из текстового файла в конечную точку API.

  • Пример сценария, выполненного на шаге 4, передает записи аудита EHR Epic из текстового файла в соединитель API, чтобы они были доступны для использования решением для управления внутренними рисками. Пример сценария не поддерживается стандартными вспомогательными программами и службами Майкрософт. Пример сценария приводится в виде "как есть", без каких-либо гарантий. Кроме того, корпорация Microsoft отказывается от всех подразумеваемых гарантий, включая в том числе все подразумеваемые гарантии пригодности для продажи или определенной цели. Все риски, возникающие в результате использования примера сценария и документации, берет на себя пользователь. Корпорация Майкрософт, ее штатные авторы и другие лица, принимающие участие в создании, подготовке и выпуске сценариев, ни при каких обстоятельствах не несут ответственность за какой-либо ущерб (в том числе, ущерб, вызванный потерей доходов предприятия, остановкой его работы, потерей бизнес-данных и другими материальными потерями), вызванный использованием или неспособностью использовать примеры сценариев и документацию, даже если корпорации Майкрософт известно о возможности нанесения такого ущерба.

Шаг 1. Создание приложения с идентификатором Microsoft Entra

Первым шагом является создание и регистрация нового приложения в Microsoft Entra id. Приложение будет соответствовать соединителю Epic, созданному на шаге 3. Создание этого приложения позволяет Microsoft Entra идентификатор для проверки подлинности push-запроса для текстового файла, содержащего записи аудита Epic EHR. Во время создания этого приложения Microsoft Entra обязательно сохраните следующие сведения. Эти значения будут использоваться на последующих шагах.

  • Microsoft Entra идентификатор приложения (также называемый идентификатором приложения или идентификатором клиента)

  • Microsoft Entra секрет приложения (также называемый секретом клиента)

  • Идентификатор клиента (также называемый идентификатором каталога)

Пошаговые инструкции по созданию приложения с идентификатором Microsoft Entra см. в разделе Регистрация приложения с помощью платформа удостоверений Майкрософт.

Шаг 2. Подготовка текстового файла с записями аудита EHR Epic

Далее необходимо создать текстовый файл, содержащий сведения о доступе сотрудников к медицинским картам пациентов в системе EHR Epic организации. Как уже объяснялось ранее, необходимо определить способ создания этого текстового файла с помощью системы EHR Epic. Для рабочего процесса соединителя Epic требуется текстовый файл со значениями с разделителями в виде табуляции, чтобы сопоставить данные в текстовом файле с требуемой схемой соединителя. Поддерживаемый формат файла — TXT-файл с разделителями в виде табуляции или вертикальной линии.

Примечание.

Максимальный размер текстового файла, который содержит данные аудита, составляет 3 ГБ. Максимальное число строк составляет 5 миллионов. Кроме того, следует включать только необходимые данные аудита системы EHR.

В следующей таблице перечислены поля, необходимые для реализации сценариев управления внутренними рисками. Подмножество этих полей является обязательным. Эти поля выделены звездочкой (*). Если в текстовом файле оставить пустыми обязательные поля, файл не будет проверен и данные в нем не будут импортированы.

Поле Категория
ACCESS_LOG.ACCESS_TIME*
ACCESS_LOG_METRIC.METRIC_NAME*
ACCESS_LOG.WORKSTATION_ID
ZC_METRIC_GROUP.NAME
ZC_ACCESS_ACTION.NAME
Эти поля используются для определения событий действий доступа в системе EHR Epic.
PATIENT.PAT_MRN_ID
PATIENT.PAT_FIRST_NAME*
PATIENT.PAT_MIDDLE_NAME
PATIENT.PAT_LAST_NAME*
PATIENT.ADD_LINE_1*
PATIENT.ADD_LINE_2
PATIENT.CITY*
PATIENT.ZIP*
ZC_STATE.NAME
ZC_COUNTRY.NAME
CLARITY_DEP.DEPARTMENT_NAME
Эти поля используются для определения сведений о профиле пациентов.
ZC_BTG_REASON.NAME*
PAT_BTG_AUDIT.BTG_EXPLANATION
Эти поля используются для определения доступа к записям с ограниченным доступом.
EMP.SYSTEM_LOGIN*
CLARITY_EMP.USER_ID
employee_last_name1
employee_first_name1
Эти поля используются для идентификации сведений профиля сотрудника с целью сопоставления адреса и имени, необходимых для определения доступа к записям "Семьи/соседи/сотрудники".

Примечание.

Убедитесь, что экспортируются только соответствующие показатели журнала из системы Epic. 1Это поле по умолчанию недоступно в Epic. Необходимо настроить экспорт, чтобы текстовый файл содержал это поле.

Шаг 3. Создание соединителя Epic

Следующим шагом является создание соединителя Epic на портале соответствия требованиям. После выполнения сценария на шаге 4 текстовый файл, созданный на шаге 2, будет обработан и отправлен в конечную точку API, настроенную на шаге 1. На этом шаге обязательно скопируйте JobId, сгенерированный при создании соединителя. Этот JobId следует использовать при выполнении сценария.

  1. Перейдите к https://compliance.microsoft.com и выберите Соединители данных на левой панели навигации.

  2. На странице Соединители данных в разделе Соединитель Epic выберите Просмотреть.

  3. На странице Соединитель Epic выберите Добавить соединитель.

  4. На странице Настройка подключения выполните следующие действия и выберите Далее.

    1. Введите или вставьте идентификатор приложения Microsoft Entra для приложения Azure, созданного на шаге 2.

    2. Введите имя соединителя Epic.

  5. На странице Просмотр просмотрите параметры и выберите Готово, чтобы создать соединитель.

    Отображается страница состояния, подтверждающая создание соединителя. На этой странице содержатся два важных действия, которые необходимо выполнить на следующем шаге, чтобы запустить пример сценария для отправки данных записей аудита EHR Epic.

    Страница просмотра с идентификатором задания и ссылкой на GitHub для получения примера сценария

    1. Идентификатор задания. Этот идентификатор задания потребуется для выполнения сценария на следующем шаге. Можно скопировать его с этой страницы или со всплывающей страницы соединителя.

    2. Справочная схема. Чтобы понять, какие поля системы Epic принимаются соединителем, см. схему. Это поможет создать файл со всеми необходимыми полями базы данных Epic.

    3. Ссылка на пример сценария. Щелкните ссылку здесь, чтобы перейти на сайт GitHub для получения доступа к примеру сценария (ссылка открывает новое окно). Не закрывайте данное окно, чтобы можно было скопировать сценарий на шаге 4. Кроме того, можно добавить закладку для места назначения или скопировать URL-адрес, чтобы повторно получить к нему доступ при выполнении сценария. Эта ссылка также доступна на всплывающей странице соединителя.

  6. Нажмите кнопку Готово.

    Новый соединитель отображается в списке на вкладке Соединители.

  7. Выберите только что созданный соединитель Epic, чтобы отобразить всплывающую страницу, которая содержит свойства и другие сведения о соединителе.

Если данное действие не было выполнено, можно скопировать значения для параметров Идентификатор приложения Azure и Идентификатор задания соединителя. Данные значения требуются для запуска сценария на следующем шаге. Также можно загрузить сценарий со всплывающей страницы (или загрузить его по ссылке на следующем шаге).

Можно выбрать параметр Изменить, чтобы изменить идентификатор приложения Azure или имена заголовков столбцов, определенные на странице Сопоставления файлов.

Шаг 4. Выполнение примера сценария для отправки записи аудита EHR Epic

Последним шагом при настройке соединителя Epic является выполнение примера сценария, который будет загружать данные записей аудита EHR Epic из текстового файла (созданного на шаге 1) в Microsoft Cloud. В частности, сценарий отправляет данные в соединитель Epic. После выполнения сценария соединитель Epic, созданный на шаге 3, импортирует данные записей аудита EHR Epic в организацию Microsoft 365, где к ним можно получить доступ с помощью других инструментов для соблюдения требований, таких как решение для управления внутренними рисками. После выполнения сценария следует запланировать автоматический запуск задачи на ежедневной основе, чтобы самые последние данные об увольнении сотрудников загружались в Microsoft Cloud. См. Шаг 6 (необязательно). Планирование автоматического запуска сценария.

Примечание.

Как было указано ранее, максимальный размер текстового файла, который содержит данные аудита, составляет 3 ГБ. Максимальное число строк составляет 5 миллионов. Сценарию, выполняемому на этом шаге, потребуется 30–40 минут для импорта данных аудита из больших текстовых файлов. Кроме того, сценарий делит большие текстовые файлы на более мелкие блоки по 100 тыс. строк, а затем последовательно импортирует эти блоки.

  1. Перейдите к окну, которое было открыто на предыдущем шаге, чтобы получить доступ к сайту GitHub с примером сценария. Кроме того, можно открыть сайт с закладкой или использовать скопированный URL-адрес. Здесь также можно открыть сценарий.

  2. Чтобы отобразить сценарий в текстовом представлении, нажмите кнопку Необработанные.

  3. Скопируйте все строки в примере сценария и сохраните их в текстовый файл.

  4. При необходимости измените пример сценария для организации.

  5. Сохраните текстовый файл как файл сценария Windows PowerShell, используя расширение имени файла .ps1; например EpicConnector.ps1.

  6. Откройте командную строку на локальном компьютере и перейдите в каталог, в котором сохранен сценарий.

  7. Чтобы отправить данные аудита Epic текстового файла в Microsoft Cloud, запустите следующую команду; например:

    .\EpicConnector.ps1 -tenantId <tenantId> -appId <appId>  -appSecret <appSecret>  -jobId <jobId>  -filePath '<filePath>'
    

В следующей таблице описаны параметры, используемые в данном сценарии, и их необходимые значения. В качестве значений этих параметров используются данные, полученные на предыдущем шаге.

Параметр Описание
tenantId Это идентификатор организации Microsoft 365, полученный на шаге 1. Вы также можете получить идентификатор клиента для своей организации в колонке Обзор в Центре администрирования Microsoft Entra. Он используется для идентификации организации.
appId Это Microsoft Entra идентификатор приложения, созданного в Microsoft Entra на шаге 1. Он используется идентификатором Microsoft Entra для проверки подлинности, когда скрипт пытается получить доступ к вашей организации Microsoft 365.
appSecret Это Microsoft Entra секрет приложения для приложения, созданного в Microsoft Entra id на шаге 1. Он также используется для проверки подлинности.
jobId Это идентификатор задания для соединителя Epic, созданного на шаге 3. Он используется для связывания записей аудита EHR Epic, загружаемых в Microsoft Сloud, с соединителем Epic.
filePath Это путь к текстовому файлу (хранящемуся в той же системе, что и сценарий), созданному на шаге 2. Старайтесь не использовать пробелы при указании пути к файлу; в противном случае используйте одинарные кавычка.

Далее указан пример синтаксиса для сценария соединителя Epic с использованием реальных значений каждого параметра.

.\EpicConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\epic_audit_records.txt'

Если отправка успешно выполнена, сценарий отобразит сообщение Отправка выполнена.

Примечание.

При возникновении проблем с выполнением предыдущей команды из-за политик выполнения, см. инструкции по настройке политик выполнения в разделах Сведения о политиках выполнения и Set-ExecutionPolicy.

Шаг 5. Мониторинг соединители Epic

После создания соединителя Epic и отправки записей аудита EHR можно просмотреть состояние соединителя и отправки на портале соответствия требованиям. Если запланировать автоматическое выполнение сценария на регулярной основе, можно также просмотреть текущее состояние после последнего выполнения сценария.

  1. Перейдите к https://compliance.microsoft.com и выберите Соединители данных на левой панели навигации.

  2. Выберите вкладку Соединители, а затем выберите соединитель Epic, чтобы отобразить всплывающую страницу. Эта страница содержит свойства и сведения о соединителе.

  3. В окне Последний импорт выберите ссылку на журнал загрузки, чтобы открыть (или сохранить) журнал состояния соединителя. Этот журнал содержит сведения о каждом запуске сценария и отправке данных из текстового файла в Microsoft Cloud.

    В файле журнала соединителя Epic отображаются числовые строки из загруженного текстового файла.

    Это RecordsSaved поле указывает количество строк в загруженном текстовом файле. Например, если текстовый файл содержит четыре строки, значение RecordsSaved полей будет равно 4 после успешной загрузки сценарием всех строк текстового файла.

Если сценарий не был выполнен на шаге 4, ссылка для загрузки сценария отображается в области Последний импорт. Можно загрузить сценарий и выполнить действия для его запуска.

Шаг 6 (необязательно). планирование автоматического запуска сценария

Чтобы обеспечить доступность последних записей аудита системы EHR Epic для таких инструментов, как решение для управления внутренними рисками, мы рекомендуем запланировать автоматическое выполнение сценария на ежедневной основе. Для этого также требуется обновление данных записей аудита Epic в текстовом файле по аналогичному (если не одинаковому) графику, чтобы они содержали последние сведения о действиях сотрудников по доступу к записям пациентов. Цель заключается в отправке самых актуальных записей аудита, чтобы соединитель Epic мог сделать их доступными для решения управления внутренними рисками.

Также можно использовать приложение "Планировщик задач" в Windows для автоматического ежедневного выполнения сценария.

  1. На локальном компьютере нажмите кнопку Пуск Windows и введите Планировщик задач.

  2. Выберите приложение Планировщик задач, чтобы открыть его.

  3. В разделе Действия выберите Создать задачу.

  4. На вкладке Общие введите описательное имя запланированной задачи, например Сценарий соединителя Epic. Также можно добавить описание (необязательно).

  5. В разделе Параметры безопасности выполните следующие действия.

    1. Определите, необходимо ли выполнять сценарий при входе в систему компьютера, после входа в систему или сценарий не следует выполнять.

    2. Убедитесь, что установлен флажок Выполнить с наивысшими правами.

  6. На вкладке Триггеры выберите Создать и выполните следующие действия.

    1. В разделе Параметрывыберите параметр Ежедневно, а затем выберите дату и время первого выполнения сценария. Сценарий будет выполняться каждый день в указанное время.

    2. В разделе Дополнительные параметры убедитесь, что установлен флажок Включено.

    3. Нажмите OK.

  7. На вкладке Действия выберите Создать и выполните следующие действия.

    Параметры действий для создания новой запланированной задачи для сценария соединителя Epic.

    1. В раскрывающемся списке Действие убедитесь, что выбран параметр Запуск программы.

    2. В окне Программа/сценарий выберите Обзор, перейдите в следующее расположение и выберите необходимый элемент, чтобы путь отображался в поле: C:.0.exe.

    3. В поле Добавить аргументы (необязательно) вставьте ту же команду сценария, которая была выполнена на шаге 4. Пример: .\EpicConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Epic\audit\records.txt"

    4. В поле Запуск в (необязательно) вставьте расположение папки со сценарием, выполненным на шаге 4. Например, C:\Epic\audit.

    5. Чтобы сохранить параметры нового действия, выберите ОК.

  8. В окне Создание задачи выберите ОК, чтобы сохранить запланированную задачу. Возможно, отобразится запрос на ввод данных учетной записи пользователя.

    Новая задача отображается в библиотеке планировщика задач.

    Новая задача для сценария соединителя учреждения здравоохранения отображается в библиотеке планировщика задач.

    Отображается время последнего выполнения сценария и время следующего запланированного выполнения. Чтобы изменить задачу, дважды щелкните ее.

    Также можно проверить время последнего выполнения сценария на всплывающей странице соответствующего соединителя Epic в Центре соответствия требованиям.