Um objeto de agrupamentos de ameaças declara explicitamente que os objetos STIX referenciados têm um contexto compartilhado. Os agrupamentos de ameaças se aplicam ao STIX 2.x.

Um objeto de Agrupamentos de ameaças representa um conjunto de dados que, dada análise suficiente, amadurece para transmitir um incidente ou relatório de ameaça como um objeto de Relatório STIX. Por exemplo, um agrupamento pode ser usado para caracterizar uma investigação em andamento em um evento ou incidente de segurança.

Um objeto de agrupamentos de ameaças também pode ser usado para declarar que os objetos STIX referenciados estão relacionados a um processo de análise em andamento. Por exemplo, um analista de ameaças pode colaborar com outras pessoas em sua comunidade de confiança para examinar uma série de campanhas e indicadores.

O SDO de agrupamento de ameaças contém uma lista de referências a SDOs, SCOs e SROs, junto com uma declaração explícita do contexto compartilhado pelo conteúdo, uma descrição textual e o nome do agrupamento.