Un objet Regroupements de menaces déclare explicitement que les objets STIX référencés ont un contexte partagé. Le regroupement des menaces s’applique à STIX 2.x.

Un objet Regroupements de menaces représente un ensemble de données qui, si elles sont suffisamment analysées, arrivent à maturité pour transmettre un rapport d’incident ou de menace en tant qu’objet de rapport STIX. Par exemple, un regroupement peut être utilisé pour caractériser une enquête en cours sur un événement ou un incident de sécurité.

Un objet Groupes de menaces peut également être utilisé pour affirmer que les objets STIX référencés sont liés à un processus d’analyse en cours. Par exemple, un analyste des menaces peut collaborer avec d’autres membres de sa communauté de confiance pour examiner une série de campagnes et d’indicateurs.

Le SDO de regroupement de menaces contient une liste de références aux SDO, SCO et SRO, ainsi qu’une déclaration explicite du contexte partagé par le contenu, une description textuelle et le nom du groupement.