Beobachtete Daten übermitteln Informationen über Cybersicherheits-bezogene Entitäten wie Dateien, Systeme und Netzwerke mithilfe der STIX Cyber-observable Objects (SCOs). Beobachtete Daten gelten für STIX 2.x.

Mit „Beobachtete Daten“ wird sowohl eine einzelne Beobachtung einer einzelnen Entität (Datei, Netzwerkverbindung) als auch die Zusammenfassung mehrerer Beobachtungen einer Entität erfasst.

Sie können Beobachtete Daten für sich allein (ohne Beziehungen) verwenden, um Rohdaten zu übermitteln, die aus einer beliebigen Quelle erfasst wurden. Zu den Quellen gehören Analystenberichte, Sandboxen sowie netzwerk- und hostbasierte Erkennungstools.

Beispielsweise können mit „Beobachtete Daten“ Informationen über eine IP-Adresse, eine Netzwerkverbindung, eine Datei oder einen Registrierungsschlüssel erfasst werden. Bei „Beobachtete Daten“ handelt es sich nicht um eine Intelligence-Assertion, sondern um Rohinformationen ohne Kontext für ihre Bedeutung.