Beobachtete Daten vermitteln Informationen über Cybersicherheits-bezogene Entitäten wie Dateien, Systeme und Netzwerke mithilfe der STIX Cyber-observable Objects (SCOs). Beobachtete Daten gelten für STIX 2.x.

Unter „Beobachtete Daten“ wird sowohl eine einzelne Beobachtung einer einzelnen Entität (Datei, Netzwerkverbindung) als auch die Zusammenfassung mehrerer Beobachtungen einer Entität erfasst.

Sie können Beobachtete Daten allein (ohne Beziehungen) verwenden, um Rohdaten zu übermitteln, die aus einer beliebigen Quelle gesammelt wurden. Quellen umfassen Analystenberichte, Sandboxen sowie netzwerk- und hostbasierte Erkennungstools.

Beispielsweise können Beobachtete Daten Informationen über eine IP-Adresse, eine Netzwerkverbindung, eine Datei oder einen Registrierungsschlüssel erfassen. Beobachtete Daten sind keine Intelligenzaussage, es sind einfach die Rohinformationen ohne Kontext für das, was sie bedeuten.