Le SDO Infrastructure représente un type de tactiques, techniques et procédures (TTP). Ils décrivent tous les systèmes, services logiciels et toutes les ressources physiques ou virtuelles associées destinés à soutenir un objectif d’attaque. L’infrastructure s’applique à STIX 2.x.

Les éléments d’une attaque sont représentés par d’autres SDO ou SCO. Toutefois, le SDO d’infrastructure représente un groupe de données nommé qui constitue l’infrastructure.

Les exemples d’infrastructure incluent les serveurs C2 utilisés dans une attaque, un appareil ou un serveur faisant partie d’une défense, ou les serveurs de base de données ciblés par une attaque.