Ein Bedrohungsgruppierungsobjekt bestätigt explizit, dass die referenzierten STIX-Objekte einen gemeinsamen Kontext haben. Bedrohungsgruppierungen gelten für STIX 2.x.

Ein Bedrohungsgruppierungsobjekt stellt einen Satz von Daten dar, die bei ausreichender Analyse ausgereift sind, um einen Incident- oder Bedrohungsbericht als STIX-Berichtsobjekt zu übermitteln. Beispielsweise kann eine Gruppierung verwendet werden, um die laufende Untersuchung eines Sicherheitsereignisses oder eines Sicherheitsincidents zu charakterisieren.

Ein Bedrohungsgruppierungsobjekt kann auch verwendet werden, um zu bestätigen, dass die referenzierten STIX-Objekte zu einem laufenden Analyseprozess gehören. Beispielsweise kann ein Bedrohungsanalyst mit anderen in seiner Trust Community zusammenarbeiten, um eine Reihe von Kampagnen und Indikatoren zu untersuchen.

Das SDO für die Bedrohungsgruppierung enthält eine Liste von Verweisen auf SDOs, SCOs und SROs, zusammen mit einer expliziten Beschreibung des vom Inhalt gemeinsam genutzten Kontexts, einer Textbeschreibung und dem Namen der Gruppierung.