Um objeto de agrupamentos de ameaças afirma explicitamente que os objetos STIX referenciados têm um contexto compartilhado. Os agrupamentos de ameaças se aplicam ao STIX 2.x.

Um objeto de Agrupamentos de ameaças representa um conjunto de dados que, após análise suficiente, se desenvolve para transmitir um relatório de incidente ou ameaça como um objeto de relatório STIX. Por exemplo, um agrupamento pode ser usado para caracterizar uma investigação em andamento sobre um evento ou incidente de segurança.

Um objeto de agrupamentos de ameaças também pode ser usado para declarar que os objetos STIX referenciados estão relacionados a um processo de análise em andamento. Por exemplo, um analista de ameaças pode colaborar com outras pessoas em sua comunidade de confiança para examinar uma série de campanhas e indicadores.

O SDO de agrupamento de ameaças contém uma lista de referências a SDOs, SCOs e SROs, junto com uma declaração explícita do contexto compartilhado pelo conteúdo, uma descrição textual e o nome do agrupamento.