Настройка соединителя для импорта данных аудита EHR Epic (предварительный просмотр)

Вы можете настроить соединитель данных для импорта записей аудита для действий пользователей в системе Epic Electronic Healthcare Records (EHR) вашей организации. Записи аудита системы EHR Epic включают записи о событиях, связанных с доступом к медицинской карте пациента. Записи аудита EHR Epic могут использоваться решением для управления внутренними рисками Microsoft Purview с целью защиты организации от несанкционированного доступа к информации пациентов.

Настройка соединителя Epic состоит из следующих задач.

• Создание приложения в Microsoft Entra ID для доступа к конечной точке API, которая принимает текстовый файл, разделенный вкладками, содержащий записи аудита Epic EHR.

• Создание текстового файла со всеми требуемыми полями, определенными в схеме соединителя.

• Создание экземпляра соединителя Epic на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

• Выполнение сценария для передачи записей аудита EHR Epic в конечную точку API.

• При необходимости можно запланировать автоматическое выполнение сценария для импорта записей аудита.

Если необходимо принять участие в предварительном просмотре, свяжитесь с командой по адресу dcfeedback@microsoft.com.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Перед настройкой соединителя

• Пользователю, который создает соединитель Epic на шаге 3, должна быть назначена роль администратора соединителя данных. Эта роль необходима для добавления соединителей на странице Соединители данных на портале Microsoft Purview или на портале соответствия требованиям. Эта роль по умолчанию добавляется в несколько групп ролей. Список этих групп ролей см. в разделе Роли в Microsoft Defender для Office 365 и соответствие требованиям Microsoft Purview. Кроме того, администратор в организации может создать пользовательскую группу ролей, назначить роль администратора соединителя данных, а затем добавить соответствующих пользователей в качестве участников. Инструкции см. в следующих статьях:

  • Разрешения на портале Microsoft Purview
  • Разрешения на портале соответствия требованиям
  • Роли и группы ролей в соответствии с Microsoft Defender для Office 365 и Microsoft Purview

• Пользователю необходимо определить способ получения или экспорта данных из системы EHR Epic организации (на регулярной основе) и создания текстового файла, описанного на шаге 2. Сценарий, выполненный на шаге 4, передаст данные из текстового файла в конечную точку API.

• Пример сценария, выполненного на шаге 4, передает записи аудита EHR Epic из текстового файла в соединитель API, чтобы они были доступны для использования решением для управления внутренними рисками. Пример сценария не поддерживается стандартными вспомогательными программами и службами Майкрософт. Пример сценария приводится в виде "как есть", без каких-либо гарантий. Кроме того, корпорация Microsoft отказывается от всех подразумеваемых гарантий, включая в том числе все подразумеваемые гарантии пригодности для продажи или определенной цели. Все риски, возникающие в результате использования примера сценария и документации, берет на себя пользователь. Корпорация Майкрософт, ее штатные авторы и другие лица, принимающие участие в создании, подготовке и выпуске сценариев, ни при каких обстоятельствах не несут ответственность за какой-либо ущерб (в том числе, ущерб, вызванный потерей доходов предприятия, остановкой его работы, потерей бизнес-данных и другими материальными потерями), вызванный использованием или неспособностью использовать примеры сценариев и документацию, даже если корпорации Майкрософт известно о возможности нанесения такого ущерба.

Шаг 1. Создание приложения в Microsoft Entra ID

Первым шагом является создание и регистрация нового приложения в Microsoft Entra ID. Приложение будет соответствовать соединителю Epic, созданному на шаге 3. Создание этого приложения позволяет Microsoft Entra ID пройти проверку подлинности push-запроса для текстового файла, содержащего записи аудита Epic EHR. Во время создания этого приложения Microsoft Entra обязательно сохраните следующие сведения. Эти значения будут использоваться на последующих шагах.

• Microsoft Entra идентификатор приложения (также называемый идентификатором приложения или идентификатором клиента)
• Microsoft Entra секрет приложения (также называемый секретом клиента)
• Идентификатор клиента (также называемый идентификатором каталога)

Пошаговые инструкции по созданию приложения в Microsoft Entra ID см. в разделе Регистрация приложения с помощью платформа удостоверений Майкрософт.

Шаг 2. Подготовка текстового файла с записями аудита EHR Epic

Далее необходимо создать текстовый файл, содержащий сведения о доступе сотрудников к медицинским картам пациентов в системе EHR Epic организации. Как уже объяснялось ранее, необходимо определить способ создания этого текстового файла с помощью системы EHR Epic. Для рабочего процесса соединителя Epic требуется текстовый файл со значениями с разделителями в виде табуляции, чтобы сопоставить данные в текстовом файле с требуемой схемой соединителя. Поддерживаемый формат файла — TXT-файл с разделителями в виде табуляции или вертикальной линии.

Примечание.

Максимальный размер текстового файла, который содержит данные аудита, составляет 3 ГБ. Максимальное число строк составляет 5 миллионов. Кроме того, следует включать только необходимые данные аудита системы EHR.

В следующей таблице перечислены поля, необходимые для реализации сценариев управления внутренними рисками. Подмножество этих полей является обязательным. Эти поля выделены звездочкой (*). Если в текстовом файле оставить пустыми обязательные поля, файл не будет проверен и данные в нем не будут импортированы.

Поле	Категория
ACCESS_LOG.ACCESS_TIME* ACCESS_LOG_METRIC.METRIC_NAME* ACCESS_LOG.WORKSTATION_ID ZC_METRIC_GROUP.NAME ZC_ACCESS_ACTION.NAME	Эти поля используются для определения событий действий доступа в системе EHR Epic.
PATIENT.PAT_MRN_ID PATIENT.PAT_FIRST_NAME* PATIENT.PAT_MIDDLE_NAME PATIENT.PAT_LAST_NAME* PATIENT.ADD_LINE_1* PATIENT.ADD_LINE_2 PATIENT.CITY* PATIENT.ZIP* ZC_STATE.NAME ZC_COUNTRY.NAME CLARITY_DEP.DEPARTMENT_NAME	Эти поля используются для определения сведений о профиле пациентов.
ZC_BTG_REASON.NAME* PAT_BTG_AUDIT.BTG_EXPLANATION	Эти поля используются для определения доступа к записям с ограниченным доступом.
EMP.SYSTEM_LOGIN* CLARITY_EMP.USER_ID employee_last_name1 employee_first_name1	Эти поля используются для идентификации сведений профиля сотрудника с целью сопоставления адреса и имени, необходимых для определения доступа к записям "Семьи/соседи/сотрудники".

Примечание.

Убедитесь, что экспортируются только соответствующие показатели журнала из системы Epic. ¹Это поле по умолчанию недоступно в Epic. Необходимо настроить экспорт, чтобы текстовый файл содержал это поле.

Шаг 3. Создание соединителя Epic

Далее необходимо создать соединитель Epic на портале Microsoft Purview или на портале соответствия требованиям. После выполнения сценария на шаге 4 текстовый файл, созданный на шаге 2, будет обработан и отправлен в конечную точку API, настроенную на шаге 1. На этом шаге обязательно скопируйте JobId, сгенерированный при создании соединителя. Этот JobId следует использовать при выполнении сценария.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview.

2. Выберите Параметры Соединители>данных.

3. Выберите Мои соединители, а затем — Добавить соединитель.

4. В списке выберите Соединитель Epic.

5. На странице Настройка подключения выполните следующие действия и выберите Далее.

   1. Введите или вставьте идентификатор приложения Microsoft Entra для приложения Azure, созданного на шаге 2.
   2. Введите имя соединителя Epic.

6. На странице Просмотр просмотрите параметры и выберите Готово, чтобы создать соединитель.

   Отображается страница состояния, подтверждающая создание соединителя. На этой странице содержатся два важных действия, которые необходимо выполнить на следующем шаге, чтобы запустить пример сценария для отправки данных записей аудита EHR Epic.

   Страница просмотра с идентификатором задания и ссылкой на GitHub для получения примера сценария

   1. Идентификатор задания. Этот идентификатор задания потребуется для выполнения сценария на следующем шаге. Можно скопировать его с этой страницы или со всплывающей страницы соединителя.
   2. Справочная схема. Чтобы понять, какие поля системы Epic принимаются соединителем, см. схему. Это поможет создать файл со всеми необходимыми полями базы данных Epic.
   3. Ссылка на пример сценария. Щелкните ссылку здесь, чтобы перейти на сайт GitHub для получения доступа к примеру сценария (ссылка открывает новое окно). Не закрывайте данное окно, чтобы можно было скопировать сценарий на шаге 4. Кроме того, можно добавить закладку для места назначения или скопировать URL-адрес, чтобы повторно получить к нему доступ при выполнении сценария. Эта ссылка также доступна на всплывающей странице соединителя.

7. Нажмите кнопку Готово.

   Новый соединитель отображается в списке на вкладке Соединители.

8. Выберите только что созданный соединитель Epic, чтобы отобразить всплывающую страницу, которая содержит свойства и другие сведения о соединителе.

Если данное действие не было выполнено, можно скопировать значения для параметров Идентификатор приложения Azure и Идентификатор задания соединителя. Данные значения требуются для запуска сценария на следующем шаге. Также можно загрузить сценарий со всплывающей страницы (или загрузить его по ссылке на следующем шаге).

Можно выбрать параметр Изменить, чтобы изменить идентификатор приложения Azure или имена заголовков столбцов, определенные на странице Сопоставления файлов.

Портал соответствия требованиям

1. Перейдите к https://compliance.microsoft.com и выберите Соединители данных на левой панели навигации.

2. На странице Соединители данных в разделе Соединитель Epic выберите Просмотреть.

3. На странице Соединитель Epic выберите Добавить соединитель.

4. На странице Настройка подключения выполните следующие действия и выберите Далее.

   1. Введите или вставьте идентификатор приложения Microsoft Entra для приложения Azure, созданного на шаге 2.
   2. Введите имя соединителя Epic.

5. На странице Просмотр просмотрите параметры и выберите Готово, чтобы создать соединитель.

   Отображается страница состояния, подтверждающая создание соединителя. На этой странице содержатся два важных действия, которые необходимо выполнить на следующем шаге, чтобы запустить пример сценария для отправки данных записей аудита EHR Epic.

   Страница просмотра с идентификатором задания и ссылкой на GitHub для получения примера сценария

   1. Идентификатор задания. Этот идентификатор задания потребуется для выполнения сценария на следующем шаге. Можно скопировать его с этой страницы или со всплывающей страницы соединителя.
   2. Справочная схема. Чтобы понять, какие поля системы Epic принимаются соединителем, см. схему. Это поможет создать файл со всеми необходимыми полями базы данных Epic.
   3. Ссылка на пример сценария. Щелкните ссылку здесь, чтобы перейти на сайт GitHub для получения доступа к примеру сценария (ссылка открывает новое окно). Не закрывайте данное окно, чтобы можно было скопировать сценарий на шаге 4. Кроме того, можно добавить закладку для места назначения или скопировать URL-адрес, чтобы повторно получить к нему доступ при выполнении сценария. Эта ссылка также доступна на всплывающей странице соединителя.

6. Нажмите кнопку Готово.

   Новый соединитель отображается в списке на вкладке Соединители.

7. Выберите только что созданный соединитель Epic, чтобы отобразить всплывающую страницу, которая содержит свойства и другие сведения о соединителе.

Если данное действие не было выполнено, можно скопировать значения для параметров Идентификатор приложения Azure и Идентификатор задания соединителя. Данные значения требуются для запуска сценария на следующем шаге. Также можно загрузить сценарий со всплывающей страницы (или загрузить его по ссылке на следующем шаге).

Можно выбрать параметр Изменить, чтобы изменить идентификатор приложения Azure или имена заголовков столбцов, определенные на странице Сопоставления файлов.

Шаг 4. Выполнение примера сценария для отправки записи аудита EHR Epic

Последним шагом при настройке соединителя Epic является выполнение примера сценария, который будет загружать данные записей аудита EHR Epic из текстового файла (созданного на шаге 1) в Microsoft Cloud. В частности, сценарий отправляет данные в соединитель Epic. После выполнения сценария соединитель Epic, созданный на шаге 3, импортирует данные записей аудита EHR Epic в организацию Microsoft 365, где к ним можно получить доступ с помощью других инструментов для соблюдения требований, таких как решение для управления внутренними рисками. После выполнения сценария следует запланировать автоматический запуск задачи на ежедневной основе, чтобы самые последние данные об увольнении сотрудников загружались в Microsoft Cloud. См. Шаг 6 (необязательно). Планирование автоматического запуска сценария.

Примечание.

Как было указано ранее, максимальный размер текстового файла, который содержит данные аудита, составляет 3 ГБ. Максимальное число строк составляет 5 миллионов. Сценарию, выполняемому на этом шаге, потребуется 30–40 минут для импорта данных аудита из больших текстовых файлов. Кроме того, сценарий делит большие текстовые файлы на более мелкие блоки по 100 тыс. строк, а затем последовательно импортирует эти блоки.

1. Перейдите к окну, которое было открыто на предыдущем шаге, чтобы получить доступ к сайту GitHub с примером сценария. Кроме того, можно открыть сайт с закладкой или использовать скопированный URL-адрес. Здесь также можно открыть сценарий.

2. Чтобы отобразить сценарий в текстовом представлении, нажмите кнопку Необработанные.

3. Скопируйте все строки в примере сценария и сохраните их в текстовый файл.

4. При необходимости измените пример сценария для организации.

5. Сохраните текстовый файл как файл сценария Windows PowerShell, используя расширение имени файла .ps1; например EpicConnector.ps1.

6. Откройте командную строку на локальном компьютере и перейдите в каталог, в котором сохранен сценарий.

7. Чтобы отправить данные аудита Epic текстового файла в Microsoft Cloud, запустите следующую команду; например:

   .\EpicConnector.ps1 -tenantId <tenantId> -appId <appId>  -appSecret <appSecret>  -jobId <jobId>  -filePath '<filePath>'
   

В следующей таблице описаны параметры, используемые в данном сценарии, и их необходимые значения. В качестве значений этих параметров используются данные, полученные на предыдущем шаге.

Параметр	Описание
tenantId	Это идентификатор организации Microsoft 365, полученный на шаге 1. Вы также можете получить идентификатор клиента для своей организации в колонке Обзор в Центр администрирования Microsoft Entra. Он используется для идентификации организации.
appId	Это Microsoft Entra идентификатор приложения, созданного в Microsoft Entra ID на шаге 1. Он используется Microsoft Entra ID для проверки подлинности, когда скрипт пытается получить доступ к вашей организации Microsoft 365.
appSecret	Это Microsoft Entra секрет приложения для приложения, созданного в Microsoft Entra ID на шаге 1. Он также используется для проверки подлинности.
jobId	Это идентификатор задания для соединителя Epic, созданного на шаге 3. Он используется для связывания записей аудита EHR Epic, загружаемых в Microsoft Сloud, с соединителем Epic.
filePath	Это путь к текстовому файлу (хранящемуся в той же системе, что и сценарий), созданному на шаге 2. Старайтесь не использовать пробелы при указании пути к файлу; в противном случае используйте одинарные кавычка.

Далее указан пример синтаксиса для сценария соединителя Epic с использованием реальных значений каждого параметра.

.\EpicConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\epic_audit_records.txt'

Если отправка успешно выполнена, сценарий отобразит сообщение Отправка выполнена.

Примечание.

При возникновении проблем с выполнением предыдущей команды из-за политик выполнения, см. инструкции по настройке политик выполнения в разделах Сведения о политиках выполнения и Set-ExecutionPolicy.

Шаг 5. Мониторинг соединители Epic

После создания соединителя Epic и отправки записей аудита EHR можно просмотреть соединитель и отправить состояние на портале Microsoft Purview или на портале соответствия требованиям. Если запланировать автоматическое выполнение сценария на регулярной основе, можно также просмотреть текущее состояние после последнего выполнения сценария.

Выберите соответствующую вкладку для используемого портала. Дополнительные сведения о портале Microsoft Purview см. на портале Microsoft Purview. Дополнительные сведения о портале соответствия требованиям см. в разделе Портал соответствия требованиям Microsoft Purview.

Портал Microsoft Purview

1. Войдите на портал Microsoft Purview.

2. Выберите Параметры Соединители>данных.

3. Выберите Мои соединители, а затем выберите созданный соединитель Epic для отображения всплывающей страницы. Эта страница содержит свойства и сведения о соединителе.

4. В окне Последний импорт выберите ссылку на журнал загрузки, чтобы открыть (или сохранить) журнал состояния соединителя. Этот журнал содержит сведения о каждом запуске сценария и отправке данных из текстового файла в Microsoft Cloud.

   В файле журнала соединителя Epic отображаются числовые строки из загруженного текстового файла.

   Это RecordsSaved поле указывает количество строк в загруженном текстовом файле. Например, если текстовый файл содержит четыре строки, значение RecordsSaved полей будет равно 4 после успешной загрузки сценарием всех строк текстового файла.

Если сценарий не был выполнен на шаге 4, ссылка для загрузки сценария отображается в области Последний импорт. Можно загрузить сценарий и выполнить действия для его запуска.

Портал соответствия требованиям

1. Перейдите к https://compliance.microsoft.com и выберите Соединители данных на левой панели навигации.

2. Выберите вкладку Соединители, а затем выберите соединитель Epic, чтобы отобразить всплывающую страницу. Эта страница содержит свойства и сведения о соединителе.

3. В окне Последний импорт выберите ссылку на журнал загрузки, чтобы открыть (или сохранить) журнал состояния соединителя. Этот журнал содержит сведения о каждом запуске сценария и отправке данных из текстового файла в Microsoft Cloud.

   В файле журнала соединителя Epic отображаются числовые строки из загруженного текстового файла.

   Это RecordsSaved поле указывает количество строк в загруженном текстовом файле. Например, если текстовый файл содержит четыре строки, значение RecordsSaved полей будет равно 4 после успешной загрузки сценарием всех строк текстового файла.

Если сценарий не был выполнен на шаге 4, ссылка для загрузки сценария отображается в области Последний импорт. Можно загрузить сценарий и выполнить действия для его запуска.

Шаг 6 (необязательно). планирование автоматического запуска сценария

Чтобы обеспечить доступность последних записей аудита системы EHR Epic для таких инструментов, как решение для управления внутренними рисками, мы рекомендуем запланировать автоматическое выполнение сценария на ежедневной основе. Для этого также требуется обновление данных записей аудита Epic в текстовом файле по аналогичному (если не одинаковому) графику, чтобы они содержали последние сведения о действиях сотрудников по доступу к записям пациентов. Цель заключается в отправке самых актуальных записей аудита, чтобы соединитель Epic мог сделать их доступными для решения управления внутренними рисками.

Также можно использовать приложение "Планировщик задач" в Windows для автоматического ежедневного выполнения сценария.

1. На локальном компьютере нажмите кнопку Пуск Windows и введите Планировщик задач.

2. Выберите приложение Планировщик задач, чтобы открыть его.

3. В разделе Действия выберите Создать задачу.

4. На вкладке Общие введите описательное имя запланированной задачи, например Сценарий соединителя Epic. Также можно добавить описание (необязательно).

5. В разделе Параметры безопасности выполните следующие действия.

   1. Определите, необходимо ли выполнять сценарий при входе в систему компьютера, после входа в систему или сценарий не следует выполнять.
   2. Убедитесь, что установлен флажок Выполнить с наивысшими правами.

6. На вкладке Триггеры выберите Создать и выполните следующие действия.

   1. В разделе Параметрывыберите параметр Ежедневно, а затем выберите дату и время первого выполнения сценария. Сценарий будет выполняться каждый день в указанное время.
   2. В разделе Дополнительные параметры убедитесь, что установлен флажок Включено.
   3. Нажмите OK.

7. На вкладке Действия выберите Создать и выполните следующие действия.

   

   1. В раскрывающемся списке Действие убедитесь, что выбран параметр Запуск программы.
   2. В окне Программа/сценарий выберите Обзор, перейдите в следующее расположение и выберите необходимый элемент, чтобы путь отображался в поле: C:.0.exe.
   3. В поле Добавить аргументы (необязательно) вставьте ту же команду сценария, которая была выполнена на шаге 4. Пример: .\EpicConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Epic\audit\records.txt"
   4. В поле Запуск в (необязательно) вставьте расположение папки со сценарием, выполненным на шаге 4. Например, C:\Epic\audit.
   5. Чтобы сохранить параметры нового действия, выберите ОК.

8. В окне Создание задачи выберите ОК, чтобы сохранить запланированную задачу. Возможно, отобразится запрос на ввод данных учетной записи пользователя.

   Новая задача отображается в библиотеке планировщика задач.

   

   Отображается время последнего выполнения сценария и время следующего запланированного выполнения. Чтобы изменить задачу, дважды щелкните ее.

   Также можно проверить время последнего выполнения сценария на всплывающей странице соответствующего соединителя Epic в Центре соответствия требованиям.