Um conjunto de intrusão é um conjunto agrupado de comportamentos adversários e recursos com propriedades comuns. Um conjunto de intrusão geralmente envolve uma única organização. O conjunto de intrusão se aplica ao STIX 2.x.

Um conjunto de intrusão pode capturar várias campanhas ou outras atividades. Essas atividades compartilham atributos que indicam um agente de ameaça conhecido ou desconhecido.

A nova atividade pode ser atribuída a um conjunto de intrusão, mesmo que os agentes de ameaça por trás do ataque não sejam conhecidos. Os agentes de ameaça podem passar do suporte a um conjunto de intrusão para o suporte a outro ou podem oferecer suporte a vários conjuntos de intrusão.

Um conjunto de invasão é o pacote de ataque completo e pode ser usado por um longo período em várias campanhas para atingir várias finalidades.