Ein Bedrohungsgruppierungsobjekt bestätigt explizit, dass die referenzierten STIX-Objekte einen gemeinsam genutzten Kontext haben. Bedrohungsgruppierungen gelten für STIX 2.x.

Ein Bedrohungsgruppierungsobjekt stellt einen Satz von Daten dar, die bei ausreichender Analyse ausgereift sind, um einen Incident oder Bedrohungsbericht als STIX-Berichtsobjekt zu übermitteln. Beispielsweise kann eine Gruppierung verwendet werden, um eine laufende Untersuchung eines Sicherheitsereignisses oder Incidents zu charakterisieren.

Ein Bedrohungsgruppierungsobjekt kann auch verwendet werden, um zu bestätigen, dass die referenzierten STIX-Objekte mit einem laufenden Analyseprozess verknüpft sind. Beispielsweise kann ein Bedrohungsanalyst mit anderen in seiner Vertrauensgemeinschaft zusammenarbeiten, um eine Reihe von Kampagnen und Indikatoren zu untersuchen.

Das Bedrohungsgruppierungs-SDO enthält eine Liste von Verweisen auf SDOs, SCOs und SROs, zusammen mit einer expliziten Angabe des vom Inhalt freigegebenen Kontexts, einer Textbeschreibung und dem Namen der Gruppierung.