Beobachtete Daten übermitteln Informationen über Entitäten im Zusammenhang mit der Cybersicherheit, z. B. Dateien, Systeme und Netzwerke, die STIX Cyber-Observable Objects (SCOs) verwenden. Beobachtete Daten gelten für STIX 2.x.

Beobachtete Daten erfassen sowohl eine einzelne Beobachtung einer einzelnen Entität (Datei, Netzwerkverbindung) als auch die Zusammenfassung mehrerer Beobachtungen einer Entität.

Sie können beobachtete Daten selbst (ohne Beziehungen) verwenden, um Rohdaten zu übermitteln, die aus einer beliebigen Quelle erfasst wurden. Quellen umfassen Analystenberichte, Sandboxen sowie Netzwerk- und hostbasierte Erkennungstools.

Beispielsweise können beobachtete Daten Informationen zu einer IP-Adresse, einer Netzwerkverbindung, einer Datei oder einem Registrierungsschlüssel erfassen. Beobachtete Daten sind keine Intelligence Assertion, es handelt sich einfach um Rohinformationen ohne Kontext für das, was sie bedeuten.