60 INVESTIGACIÓN la funcionalidad de categorizar los campos de registro de audi- toría más importantes que puede mejorar de forma importante la normalización, análisis y correlación de datos de registro de auditoría. En la categorización del login se identifican: logon con éxito, error en login, logon fallado, se hizo un intento de logon. (d) Agregación. Consiste en agrupar los eventos que aparecen en un período de tiempo definido y que tienen una serie de campos iguales. (e) Filtrado. En base a una serie de condiciones configurables por el usuario, se pueden filtrar eventos, haciendo que estos no sean enviados al sistema SIEM. Permite optimizar el volumen de logs que lleguen al sistema SIEM. 2. Correlación en tiempo real de eventos/logs. Es la corres- pondencia o relación que se define entre dos o más eventos u operaciones generadas en el mismo o en diferentes dispo- sitivos en un intervalo o ventana de tiempo y que se emplea para la detección de acciones. La correlación se define por medio de reglas que se aplican sobre eventos/logs para detectar comportamientos anómalos. Principales funciones de la capa de correlación son la recepción de eventos, el alma- cenamiento temporal en una base de datos (durante días), la generación de eventos correlacionados, la notificación de incidentes, las capacidades de análisis mediante búsquedas. La capa de correlación se puede componer de uno o más com- ponentes que pueden ser elementos físicos o virtualizados, dependiendo del rendimiento que se necesite. 3. Almacenamiento. Permite comprimir y guardar los eventos protegiendo que no sean modificados, para ello se firma los eventos calculando una función hash (por ejemplo, SHA 512) en el momento de escritura en disco, lo que permite saber si han sido o no modificados. El almacenamiento puede reali- zarse dentro del propio SIEM o en plataformas externas. Los almacenamientos pueden ser online (cuando la información es accesible sin necesidad de procesos de recuperación) y offine (sólo es accesible mediante proceso de carga y recu- peración). El rotado es un mecanismo que permite mover los logs más antiguos para almacenar los nuevos entrantes. La capacidad de análisis de la capa de almacenamiento per- mite realizar consultas sobre los logs almacenados tanto en información normalizada como en información en bruto. El reporting en la capa de almacenamiento permite exportar logs y notificación de alertas del propio SIEM. Aquí no se apli- can reglas. El almacenamiento de larga duración puede ser en appliances físicos locales (por ejemplo, utilizando MongoDB) o de forma remota empleando SAN o NAS. El licenciamiento en la capa de almacenamiento puede ser por cantidad de Gbytes al día recibidas o por EPS (Events per Second; un firewall puede generar por hora cientos de EPS). Entre las principales funcionalidades y capacidades que aporta un sistema SIEM se pueden identificar las siguientes: registrar los logs de acceso de los usuarios, seguir la pista y trazabilidad de los cambios en el sistema, monitorizar la adherencia a las políticas de seguridad corporativas, generar centralizadamente informes de cumplimiento de seguridad, alertar de ciber-incidentes, almacenar logs para labores de ciber-forensia, recoger logs de seguridad de una gran variedad de fuentes diferentes dentro de una organiza- ción incluyendo los logs tanto de los sistemas operativos (Windows, Linux, Unix, Solares, Android, IOS, etc.), de las aplicaciones de los dispositivos de seguridad y control (IPS/IDS, NAC, DLP, IAM, etc.), etc., procesar la información recogida normalizando sus formatos, analizar la información normalizada, generar alertas ante ciber- eventos anómalos, maliciosos o sospechosos, generar informes de todo tipo (de cumplimiento de seguridad (RGPD, PCI-DSS para tarjetas de crédito, SOX, HIPAA, FIEC, FISMA Federal Information Security Management Act, etc.), personalizados a medida, etc., tomar acciones correctivas, gestión de incidentes y alertas de seguridad, recoger toda la información de seguridad en un lugar para evitar puntos ciegos, detectar comportamientos sospechosos y anomalías de red (monitorizar la QoS), detectar problemas antes de que se conviertan en brechas de ciberseguridad, centralizar la vista de ciber-amenazas potenciales, determinar las ciber-ame- nazas que requieren resolución y cuales son sólo ruido, escalar cuestiones para que los analistas de ciber-seguridad puedan tomar una acción rápida, proporcionar un único interfaz para visualizar y correlacionar los datos recogidos de los diferentes controles de seguridad y componentes de la infraestructura de red de modo que se obtiene una foto exhaustiva de lo que ocurre o va a suceder en la red de la organización.