Um conjunto de intrusão é um conjunto agrupado de comportamentos adversários e recursos com propriedades comuns. Um conjunto de intrusão geralmente envolve uma única organização. O conjunto de intrusão se aplica ao STIX 2.x.

Um conjunto de intrusão pode capturar várias campanhas ou outras atividades. Essas atividades compartilham atributos que indicam um agente de ameaça comumente conhecido ou desconhecido.

A nova atividade pode ser atribuída a um conjunto de intrusão, mesmo se os agentes da ameaça por trás do ataque não forem conhecidos. Os agentes da ameaça podem passar de oferecer suporte a um conjunto de intrusão para oferecer suporte a outro ou podem oferecer suporte a vários conjuntos de intrusão.

Um conjunto de intrusão é o pacote de ataque inteiro e pode ser usado por um longo período em várias campanhas para atingir potencialmente várias finalidades.