アラートタグにより、すべての正規化フィールドを統合し、アラートフィールド (キー / 値) を変換および正規化するアドミンエクスペリエンスを向上させ、​さまざまなソース間での正規化フィールドを再利用することが可能になります。​これにより、相関のアラート品質が向上し、TBAC (タグベースの自動相関) 定義がさらにすぐに利用可能になります。​

[アラートタグ] フィールドが [アラート] フォームに表示されます。これらのタグはイベントルールとイベントマッピングによって作成され、アラートタグのテーブルに保存されます。キー / 値ペアの作成に使用される命名規則は、t_<tag name> です。​これにより、それまでに定義されたタグをユーザーが選択できるようになって、イベントルールでタグを再利用できます。​新しいアラートタグが定義されると、TBAC (タグベースのアラートクラスタリング) タグが自動的に作成されます。​これらの TBAC タグを使用して、新しいタグのソースから新しい TBAC アラートクラスタリング定義を作成できます。​