Un objet Regroupement des menaces affirme explicitement que les objets STIX référencés ont un contexte commun. Le regroupement des menaces s’applique à STIX 2.x.

Un objet Regroupement des menaces représente un ensemble de données qui, avec une analyse suffisante, arrive à maturité pour transmettre un rapport d’incident ou de menace en tant qu’objet de rapport STIX. Par exemple, un regroupement peut être utilisé pour caractériser une enquête en cours sur un événement ou un incident de sécurité.

Un objet Regroupement des menaces peut également être utilisé pour déclarer que les objets STIX référencés sont liés à un processus d’analyse en cours. Par exemple, un analyste des menaces peut collaborer avec d’autres membres de sa communauté de confiance pour examiner une série de campagnes et d’indicateurs.

Le SDO Regroupement des menaces contient une liste de références aux SDO, aux SCO et aux OAR, ainsi qu’une déclaration explicite du contexte partagé par le contenu, une description textuelle et le nom du regroupement.