Uma anotação de ameaça transmite um texto informativo para fornecer análises adicionais não contidas nos objetos STIX, objetos de definição de marcação ou objetos de conteúdo de idioma aos quais a anotação está relacionada. As anotações de ameaça se aplicam ao STIX 2.x.

Por exemplo, um analista pode adicionar uma anotação a um objeto de campanha criado por outra organização. A anotação pode indicar que eles viram publicações relacionadas a essa campanha em um fórum de hackers.

As anotações geralmente são criadas por analistas humanos e são compostas de texto orientado por humanos. Elas contêm uma propriedade extra para capturar o autor que criou a anotação.