Warnungstags ermöglichen die Konsolidierung für alle normalisierten Felder und verbessern die Administrator-Experience beim Transformieren und Normalisieren von Warnungsfeldern (Schlüssel/Wert). Dies ermöglicht die Wiederverwendung normalisierter Felder in verschiedenen Quellen.​ Dies verbessert die Warnungsqualität für die Korrelation und bietet zusätzliche Informationen. Box-TBAC-Definitionen (Tag-basierte automatische Korrelation)​.

Das Feld Warnungs-Tags wird im Warnungsformular angezeigt. Diese Tags werden von Ereignisregeln und in der Ereigniszuordnung erstellt und in der Tabelle der Warnungs-Tags gespeichert. Die zur Erstellung von Schlüssel-Wert-Paaren verwendete Namenskonvention lautet t_<tag name> .​ Dies ermöglicht die Wiederverwendung von Tags in den Ereignisregeln, indem Anwender die Möglichkeit haben, zuvor definierte Tags auszuwählen.​ Wenn neue Warnungs-Tags definiert werden, werden automatisch TBAC-Tags (Tag Based Alert Clustering) erstellt.​ Mit diesen TBAC-Tags können Sie erstellen neue TBAC-Warnungs-Clustering-Definitionen aus der neuen Tag-Quelle​.