Les balises d’alerte permettent la consolidation de tous les champs normalisés et améliorent l’expérience administrateur pour transformer et normaliser les champs d’alerte (clé/valeur), permettant ainsi la réutilisation des champs normalisés dans différentes sources. Cela améliore la qualité de l’alerte pour la corrélation et fournit davantage de définitions TBAC (Tag Based Automatic Correlation) prêtes à l’emploi.

Le champ Balises d’alerte s’affiche dans le formulaire Alertes. Ces balises sont créées par les règles d’événements et dans le mappage d’événements, et sont enregistrées dans la table des balises d’alerte. La convention de dénomination utilisée pour créer des paires clé/valeur est t_<nom de la balise>. Cela permet de réutiliser les balises dans les règles d’événements en permettant aux utilisateurs de sélectionner les balises qui ont été précédemment définies. Lorsque de nouvelles balises d’alerte sont définies, les balises TBAC (Tag Based Alert Clustering) sont automatiquement créées. À l’aide de ces balises TBAC, vous pouvez créer de nouvelles définitions de regroupement d’alertes TBAC à partir de la nouvelle source de balises.