依110年8月23日頒布之「資通安全責任等級分級辦法」修正條文明定如下：
資通安全責任等級A級與B級之公務機關：
■初次受核定或等級變更後之二年內，完成端點偵測及應變機制導入作業，並持續維運及依主管機關指定之方式提交偵測資料。
■本辦法中華民國一百十年八月二十三日修正施行前已受核定者，應於修正施行後二年內，完成端點偵測及應變機制導入作業，並持續維運及依主管機關指定之方式提交偵測資料。

為確保機關整體防護有效性，EDR導入應以全機關導入為目標，若有經費預算問題，可依系統重要性逐步完成導入作業。

主管機關可協助所屬機關一併提交EDR事件資料，依格式載明事發機關OID即可。

機關視自身情況可以導入一套以上EDR機制，資料分開提交即可。

依據法規規範，僅提到SOC提交偵測資料時須依照本中心規定之格式，並未限制EDR設備及SOC之間交換資料的格式，且聯防監控一直以來未曾針對資安產品(例如：防毒軟體、防火牆)與SOC之間傳送資料之格式進行規範，故後續也不會制定EDR設備回傳給SOC的規範與格式。

就一般機關運作而言，還是會以業管資訊單位為主進行整體SOC建置與EDR導入，因此EDR資料應統一集中回傳始能助於掌握機關整體情況。

可於內網架設伺服器進行派送與回收作業，若確認有異常活動者再另行匯出事件單回傳即可；建議有關內網管理維運可與EDR及SOC廠商做討論，找到適合機關之運作架構。

EDR資料回傳的原則為發生資安事件時才須回傳，因此若未發生資安事件則無需回傳EDR掃描資料。

EDR資料回傳的原則為發生資安事件時才須回傳，故駭客活動已被防護設備阻擋且未造成資安事件時無須回傳。

後續會與各SOC廠商以及其採用的EDR產品進行連通測試，通過測試的名單會陸續公布於官網。

因目前尚在連通測試階段，可能會依據試行的情形針對格式或內容進行細部的調整，現行的規範請以官網上的最新版本為主。

國家資通安全研究院已審視過不少EDR產品，其產出的報告均可以滿足我們的需求，若有不能填的我們多已改成選填。

可以，簡報範例為單個惡意程式的物件，多個惡意填寫方式為{type:"malware" ....(第一個惡意程式資訊)},{type:"malware" ....(第二個惡意程式資訊)}，其相關惡意程式分析及中繼站資訊於STIX Relationship Objects(SRO)做關聯，詳見官網EDR專區提供之STIX情資分析單範例。

若EDR未有確切掃描時間，可將資安事件發生時間視為掃描時間進行填寫。

若EDR產品僅有整體事件之危脅程度，各惡意程式之威脅程度可等同整體事件之危脅程度。

根據聯防監控回傳之規範，目前並未針對欄位長度進行限制。

「中繼站資訊」、「惡意程式資訊」、「惡意程式分析資訊」此三個欄位雖列為必填，但須視情況填寫。例如惡意程式若為主動式後門類型，則必定會有中繼站，此時須填寫中繼站資訊；但若惡意程式為工具類型例如類似nmap等內網掃描軟體，則不會有中繼站資訊，此時中繼站的欄位可留白。