Eine Bedrohungsnotiz übermittelt informativen Text, um zusätzliche Analysen bereitzustellen, die nicht in den STIX-Objekten, Markierungsdefinitionsobjekten oder Sprachinhaltsobjekten enthalten sind, auf die sich die Notiz bezieht. Bedrohungshinweise gilt für STIX 2.x.

Beispielsweise kann ein Analyst einem Kampagnenobjekt, das von einer anderen Organisation erstellt wurde, eine Notiz hinzufügen. Der Hinweis kann darauf hinweisen, dass sie Beiträge zu dieser Kampagne in einem Hacker-Forum gesehen hat.

Notizen werden in der Regel von menschlichen Analysten erstellt und bestehen aus an Menschen ausgerichtetem Text. Sie enthalten eine zusätzliche Eigenschaft, um den Autor zu erfassen, der die Notiz erstellt hat.