Ein Objekt vom Typ „Bedrohungsgruppierung“ bestätigt explizit, dass die referenzierten STIX-Objekte einen gemeinsamen Kontext haben. Bedrohungsgruppierungen gelten für STIX 2.x.

Ein Objekt vom Typ „Bedrohungsgruppierung“ stellt einen Datensatz dar, der bei ausreichender Analyse ausgereift ist, um einen Incident- oder Bedrohungsbericht als STIX-Berichtsobjekt zu übermitteln. Beispielsweise kann eine Gruppierung verwendet werden, um eine laufende Untersuchung eines Sicherheits-Ereignisse oder -Incident zu kennzeichnen.

Ein Objekt vom Typ „Bedrohungsgruppierung“ kann auch verwendet werden, um zu bestätigen, dass die referenzierten STIX-Objekte zu einem laufenden Analyseprozess gehören. Beispielsweise kann ein Bedrohungsanalyst mit anderen in seiner Trust-Community zusammenarbeiten, um eine Reihe von Kampagnen und Indikatoren zu untersuchen.

Das SDO der Bedrohungsgruppierung enthält eine Liste von Verweisen auf SDOs, SCOs und SROs sowie eine explizite Angabe des vom Inhalt gemeinsam genutzten Kontexts, eine Textbeschreibung und den Namen der Gruppierung.