Le SDO d’infrastructure représente un type de tactiques, techniques et procédures (TTP). Ils décrivent tous les systèmes, les services logiciels et toutes les ressources physiques ou virtuelles associées destinés à soutenir un objectif d’une attaque. L’infrastructure s’applique pour STIX 2.x.

Les éléments d’une attaque sont représentés par d’autres SDO ou SCOs. Toutefois, le SDO d’infrastructure représente un groupe nommé de données qui constitue l’infrastructure.

Par exemple, les serveurs C2 utilisés dans une attaque, un appareil ou un serveur faisant partie d’une défense, ou encore les serveurs de base de données ciblés par une attaque.