Os marcadores de alerta permitem a consolidação de todos os campos normalizados e melhoram a experiência do administrador para transformar e normalizar campos de alerta (chave/valor)​ permitindo a reutilização de campos normalizados em diferentes origens.​ Isso melhora a qualidade do alerta para correlação e fornece mais resultados fora do comum definições de TBAC (correlação automática baseada em marcador) do box​.

O campo Marcadores de alerta aparece no formulário Alertas. Esses marcadores são criados por Regras de evento e no Mapeamento de eventos e são salvos na tabela de marcadores de alerta. A convenção de nomenclatura usada para criar pares de chave/valor é t_<tag name> .​ Isso permite a reutilização de marcadores nas regras de evento, permitindo que os usuários selecionem marcadores que foram definidos anteriormente.​ Quando novos marcadores de alerta são definidos, os marcadores TBAC (clustering de alerta baseado em marcador) são criados automaticamente.​ Usando esses marcadores TBAC, você pode criar novas definições de cluster de alertas TBAC da nova origem de marcadores​.