Ein Bedrohungsgruppierungsobjekt bestätigt explizit, dass die referenzierten STIX-Objekte einen gemeinsam genutzten Kontext haben. Bedrohungsgruppierungen gelten für STIX 2.x.

Ein Bedrohungsgruppierungsobjekt stellt einen Satz von Daten dar, die bei ausreichender Analyse Reifen, um einen Incident- oder Bedrohungsbericht als STIX-Berichtsobjekt zu übermitteln. Beispielsweise kann eine Gruppierung verwendet werden, um eine laufende Untersuchung eines Sicherheitsereignisses oder Incidents zu charakterisieren.

Ein Bedrohungsgruppierungsobjekt kann auch verwendet werden, um zu bestätigen, dass die referenzierten STIX-Objekte einem laufenden Analyseprozess zugeordnet sind. Beispielsweise kann ein Bedrohungsanalyst mit anderen in ihrer Vertrauensgemeinschaft zusammenarbeiten, um eine Reihe von Kampagnen und Indikatoren zu untersuchen.

Das Bedrohungsgruppierungs-SDO enthält eine Liste von Verweisen auf SDOs, SCOs und SROs, zusammen mit einer expliziten Beschreibung des vom Inhalt freigegebenen Kontexts, einer Textbeschreibung und dem Namen der Gruppierung.