Um conjunto de intrusão é um conjunto agrupado de comportamentos e recursos adversários com propriedades comuns. Um conjunto de Intrusão geralmente envolve uma única organização. O conjunto de intrusão se aplica ao STIX 2.x.

Um conjunto de Intrusão pode capturar várias campanhas ou outras atividades. Essas atividades compartilham atributos que indicam um agente de ameaça comumente conhecido ou desconhecido.

Uma nova atividade pode ser atribuída a um conjunto de Intrusão, mesmo que os agentes de ameaça por trás do ataque não sejam conhecidos. Os agentes de ameaça podem passar do suporte a um conjunto de intrusão para outro, ou podem oferecer suporte a vários conjuntos de intrusão.

Um conjunto de intrusão é o pacote de ataque inteiro e pode ser usado por um longo período em várias campanhas para atingir possíveis finalidades múltiplas.