Les données observées transmettent des informations sur les entités liées à la cybersécurité telles que les fichiers, les systèmes et les réseaux à l’aide des objets cyber-observables (SCO) STIX. Les données observées s’appliquent à STIX 2.x.

Les données observées capturent à la fois une observation unique d’une seule entité (fichier, connexion réseau) et l’agrégation de plusieurs observations d’une entité.

Vous pouvez utiliser des données observées seules (sans relations) pour transmettre des données brutes collectées à partir de n’importe quelle source. Les sources comprennent des rapports d’analystes, des bacs à sable et des outils de détection basés sur le réseau et l’hôte.

Par exemple, les données observées peuvent capturer des informations sur une adresse IP, une connexion réseau, un fichier ou une clé de registre. Les données observées ne sont pas une affirmation de renseignement, ce sont simplement des informations brutes sans aucun contexte pour ce qu’elles signifient.