As ferramentas são softwares legítimos usados por agentes de ameaça para executar ataques. As ferramentas se aplicam ao STIX 2.x.

As ferramentas permitem que você saiba como e quando os agentes de ameaça as usam para executar campanhas. Ao contrário do malware, essas ferramentas ou pacotes de software geralmente são encontrados em um sistema e têm finalidades legítimas para usuários avançados, administradores, administradores de rede ou até mesmo usuários normais.

Por exemplo, ferramentas de acesso remoto (RDP) e ferramentas de verificação de rede (Nmap) são ferramentas que um agente de ameaça usa durante um ataque.