Les données observées transmettent des informations sur les entités liées à la cybersécurité telles que les fichiers, les systèmes et les réseaux à l’aide des objets cyber-observables (SCO) STIX. Les données observées s’appliquent à STIX 2.x.

Les données observées capturent à la fois une observation unique d’une seule entité (fichier, connexion réseau) ainsi que l’agrégation de plusieurs observations d’une entité.

Vous pouvez utiliser les données observées seules (sans relations) pour transmettre des données brutes collectées à partir de n’importe quelle source. Les sources comprennent les rapports d’analyste, les bacs à sable et les outils de détection basés sur le réseau et l’hôte.

Par exemple, les données observées peuvent capturer des informations sur une adresse IP, une connexion réseau, un fichier ou une clé de registre. Les données observées ne sont pas une affirmation de renseignement, ce sont simplement des informations brutes sans aucun contexte pour ce qu’elles signifient.