Les balises d’alerte permettent la consolidation de tous les champs normalisés et améliorent l’expérience administrateur pour transformer et normaliser les champs d’alerte (clé/valeur), ce qui permet la réutilisation des champs normalisés dans différentes sources. Cela améliore la qualité des alertes pour la corrélation et fournit davantage de définitions TBAC (Tag Based Automatic Correlation) prêtes à l’emploi.

Le champ Balises d’alerte s’affiche dans le formulaire Alertes. Ces balises sont créées par les règles d’événements et dans le mappage d’événements et sont enregistrées dans la table des balises d’alerte. La convention de dénomination utilisée pour créer des paires clé/valeur est t_<nom de balise>. Cela permet de réutiliser des balises dans les règles d’événements en permettant aux utilisateurs de sélectionner des balises précédemment définies. Lorsque de nouvelles balises d’alerte sont définies, des balises TBAC (Tag Based Alert Clustering) sont automatiquement créées. À l’aide de ces balises TBAC, vous pouvez créer de nouvelles définitions de mise en grappe d’alertes TBAC à partir de la nouvelle source de balises.