Warnungs-Tags ermöglichen die Konsolidierung für alle normalisierten Felder und verbessern die Administrator-Experience bei der Transformation und Normalisierung von Warnungsfeldern (Schlüssel/Wert), sodass normalisierte Felder in verschiedenen Quellen wiederverwendet werden können. Dies verbessert die Warnungsqualität für die Korrelation und bietet mehr Möglichkeiten. Box TBAC-Definitionen (Tag Based Automatische Korrelation)​.

Das Feld Warnungs-Tags wird im Warnungsformular angezeigt. Diese Tags werden von Event-Regeln und in der Event-Zuordnung erstellt und in der Tabelle der Warnungs-Tags gespeichert. Die zum Erstellen von Schlüssel-Wert-Paaren verwendete Benennungskonvention lautet t_.<tag name> .​ Dies ermöglicht die Wiederverwendung von Tags in den Event-Regeln, indem Benutzer Tags auswählen können, die zuvor definiert wurden.​ Wenn neue Warnungs-Tags definiert werden, werden automatisch TBAC-Tags (Tag Based Alert Clustering) erstellt.​ Mit diesen TBAC-Tags können Sie erstellen neue TBAC-Warnungs-Clustering-Definitionen aus der neuen Tag-Quelle​.