本文以實務攻防視角，簡單整理 EDR 從原始事件到 Incident 的完整流程，涵蓋資料來源信任分級、Detection 與 Tag 設計、告警關聯、SQLite 本地可靠性、Agent 與 Cloud 分工，以及效能與誤報間的取捨。同時對照 MDE、CrowdStrike、SentinelOne、Elastic 的做法，總結一套能持續調整的設計原則。