反情報調查工作的定義是「正式調查具體人員是否存在參與外國間諜組織、為外國政權從事間諜活動、破壞活動、叛國、暴動、顛覆、暗殺或國際恐怖主義活動等行為,並採取適當措施阻止相關活動。」啟動調查活動需要具備多種因素。人力情報渠道可能被捕或失蹤,技術和人力行動可能會被外國安全機構終止,之前可靠的情報來源可能會開始提供明顯存在欺詐的資料。可疑的旅行活動和無法合理解釋的收入都會引起反情報部門的關注,並懷疑相關行為人與外國情報機構發生聯繫。
危險警告也可能來自變節人員。1985年8月,美國中央情報局駐羅馬情報站電告蘭利總部,叛徒維塔利·尤爾琴科(Vitaly Yurko)掌握一名為克格勃工作的美方人員情況,此人代號為羅伯特先生。「羅伯特先生」向克格勃透露了阿道夫·托爾卡切夫(Adolf Tolkachev)的中央情報局情報人員身份,並向克格勃透露托爾卡切夫為中央情報局在莫斯科實施的技術行動,以及中央情報局針對蘇聯實施的另一項技術行動。尤爾琴科提供的有關「羅伯特先生」的情報——其中重要線索顯示此人曾是中央情報局官員,後在1983年至1984年期間因不恰當行為和測謊問題而被開除——導致愛德華·李·霍華德(Edward Lee Howard)身份暴露,霍華德後潛逃至蘇聯最終死於俄羅斯。
羅馬情報站報稱,尤爾琴科還揭露了已被克格勃招募的一名國家安全局僱員,此人向克格勃提供了國家安全局實施針對蘇聯北海潛艇部隊行動的詳細情報。尤爾琴科泄露的此條線索導致羅納德·佩爾頓(Ronald Pelton)被捕並被判有罪。國防部情報局的反情報分析人員在1996年就開始懷疑安娜·貝蘭·蒙特斯(Ana Belen Montes)的忠誠度,這一事實說明,判斷可疑人員身份「並非只是由於一次偶然因素或觀察,而是通過多次細微因素和觀察的積累後作出的綜合判斷」。20世紀90年代末,「美國情報界有……理由相信……一名古巴間諜已經打入內部,或許就在華盛頓的重要核心部位」。
如果不能準確地判斷情報泄露的途徑,反情報調查人員就要調查有條件掌握這些情報的具體人員(情報來源的身份或在執行的技術行動具體情況),收集他們在境內外的活動情況,檢查其在財務方面的變化,分析其可能存在的弱點,然後採取監視措施或誘捕主要嫌疑人。同時,必須分析外國情報來源出於掩蓋情報泄露真實渠道而提供迷惑性情報的可能性。例如克格勃為了掩蓋與埃姆斯存在情報合作關係,使用了一名被中央情報局稱為「GTPROLOGUE」的人。
不過,該項反情報調查最終的結果是埃姆斯因泄露12名美國人力情報渠道(其中大部分被處決)以及與其本人有關的多項技術情報搜集行動情況而被捕,同時還為針對其他嫌疑人的進一步調查提供線索。對埃姆斯和蒙特斯的懷疑最初來自其同事的直覺。與蒙特斯案情況不同的是,在埃姆斯案中,埃姆斯的同事觀察到埃姆斯的生活方式在其完成一次海外任務返回華盛頓後突然發生變化,由此產生了對其的懷疑。所謂的變化包括埃姆斯購買了一套價值超過50萬美元的房屋,並計畫進行大幅改造。
對埃姆斯的調查包括了解其本人及其妻子財產的可能來源、調查其所購買的房屋是否使用抵押貸款、信用調查、測謊以及對其住所實施搜查。通過更廣泛的調查發現了6名可能的嫌疑人後,一個由10人組成的調查小組將相關嫌疑人按照嫌疑程度從高到低進行打分排序,每次調查中排序最靠前的嫌疑人打6分,對排序對靠後的嫌疑人每次打1分,最後根據嫌疑程度打分得出的總分對嫌疑人進行排序。埃姆斯在第一輪調查中被打了21分,但是調查組決定排查所有打分在15分以上的嫌疑人。隨後的調查採取了多種方式,包括分析泄密案件的檔案、編製所有已退休、辭退或者在1985年至1986年死亡的中央情報局僱員名單、訪談中央情報局駐莫斯科情報站工作人員、調查可能存在接觸克格勃官員的出境情況、分析中央情報局和聯邦調查局有關可能存在滲透活動的報告、重新報告變節人員和固定情報來源。在調查組發現埃姆斯在會見一名克格勃官員後銀行存款顯著增加後,加強了將其作為重點嫌疑人的判斷。