Le SDO d’infrastructure représente un type de tactiques, de techniques et de procédures (TTP). Ils décrivent les systèmes, les services logiciels et toutes les ressources physiques ou virtuelles associées destinés à soutenir un objectif d’une attaque. L’infrastructure s’applique pour STIX 2.x.

Les éléments d’une attaque sont représentés par d’autres SDO ou SCO. Toutefois, le SDO d’infrastructure représente un groupe nommé de données qui constitue l’infrastructure.

Des exemples d’infrastructure incluent les serveurs C2 utilisés dans une attaque, un appareil ou un serveur faisant partie d’une défense, ou les serveurs de base de données ciblés par une attaque.