El rápido avance hacia la digitalización y el uso de sistemas de información en línea trae nuevas y crecientes amenazas de las que las organizaciones deben protegerse y responder. Monitorear la red de una organización en busca de actividad maliciosa se ha convertido en una práctica estándar junto con la recolección de eventos y registros de los hosts de la red. Los centros de operaciones de seguridad manejan un número creciente de alertas generadas por sistemas de detección de intrusiones que procesan los datos recopilados y monitorean las redes. Las alertas deben ser procesadas para que las partes interesadas relevantes puedan tomar decisiones informadas al responder a situaciones. La correlación de alertas en escenarios de intrusión más expresivos es una herramienta importante para reducir alertas falsas positivas y ruidosas. En este documento, proponemos reglas de correlación para identificar ataques de múltiples etapas. Otra contribución de este documento es una metodología para inferir de una alerta los valores necesarios para evaluar el ataque en términos del nivel de habilidad del atacante. Presentamos nuestros resultados en el conjunto de datos CSE-CIC-IDS2018.