Le SDO Infrastructure représente un type de tactiques, de techniques et de procédures (TTP). Ils décrivent tous les systèmes, services logiciels et toutes les ressources physiques ou virtuelles associées destinés à soutenir un objectif d’attaque. L’infrastructure s’applique à STIX 2.x.

Les éléments d’une attaque sont représentés par d’autres SDO ou SCO. Toutefois, le SDO d’infrastructure représente un groupe nommé de données qui constitue l’infrastructure.

Parmi les exemples d’infrastructure, citons les serveurs C2 utilisés dans une attaque, un appareil ou un serveur faisant partie d’une défense, ou les serveurs de base de données ciblés par une attaque.