Uma anotação de ameaça transmite texto informativo para fornecer análise adicional não contida nos objetos STIX, objetos de definição de marcação ou objetos de conteúdo de idioma aos quais a anotação se relaciona. As anotações de ameaça se aplicam ao STIX 2.x.

Por exemplo, um analista pode adicionar uma anotação a um objeto de campanha criado por outra organização. A anotação pode indicar que eles viram postagens relacionadas a essa campanha em um fórum de hackers.

As anotações geralmente são criadas por analistas humanos e são compostas de texto orientado para o ser humano, elas contêm uma propriedade extra para capturar o autor que criou a anotação.